IT-Management-Zertifizierung

KRITIS - Nachweis über angemessene IT-Sicherheit

Risiken für die Informationssicherheit minimieren nach § 8a BSIG

Betreiber kritischer Infrastrukturen (KRITIS) müssen gemäß § 8a BSIG nachweisen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Dass Strom aus der Steckdose, Wasser aus dem Hahn und der Nahverkehr nach Plan kommt, ist hierzulande zwar eine Selbstverständlichkeit. Doch diese und viele weitere Systeme, auf die wir uns im Alltag verlassen, laufen zunehmend digital oder zumindest digital unterstützt ab. Das macht Infrastrukturen schneller, präziser, intelligenter – aber auch verwundbarer. Deshalb nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Betreiber in die Pflicht, diese kritischen Infrastrukturen bestmöglich abzusichern. Die BSI-Kritis-Verordnung (BSI-KritisV) beschreibt, welche Anlagen in den jeweiligen Sektoren als kritisch gelten und fordert von den jeweiligen Betreibern einen Nachweis über den Schutz ihrer Informationstechnik.

AB 1. MAI 2023: SYSTEME ZUR ANGRIFFSERKENNUNG NÖTIG – INKLUSIVE EINES UNABHÄNGIGEN NACHWEISES

Ab dem 1. Mai 2023 sind sie nun auch verpflichtet, ein System zur Angriffserkennung zu etablieren, es prüfen zu lassen und einen entsprechenden Nachweis vorzulegen – gemäß IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0).

Das IT-SiG 2.0 steht für eine moderne Cybersicherheit und will die Sicherheit informationstechnischer Systeme weiter verbessern. Betreiber kritischer Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Im Rahmen des 2. IT-Sicherheitsgesetzes wird im neuen § 8a Absatz 1a BSIG auch ausdrücklich der Einsatz von Systemen zur Angriffserkennung (SzA) gefordert. Sie stellen eine effektive Maßnahme zur (frühzeitigen) Erkennung von Cyber-Angriffen dar und unterstützen insbesondere die Schadensreduktion und Schadensvermeidung.

Orientierungshilfe des BSI gibt Anhaltspunkte zur Umsetzung eines SzA

Die eher abstrakten Anforderungen aus § 8a Abs. 1a hat das BSI im September 2022 mit einer Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung konkretisiert. Sie gibt Unternehmen klare Anhaltspunkte zur individuellen Gestaltung eines Angriffserkennungssystems und definiert verbindliche Anforderungen rund um Protokollierung, Detektion (Erkennung) und Reaktion für Betreiber. Dabei geht es sowohl um technische Kriterien als auch um organisatorische und prozessuale Anforderungen.

Wichtig: Die SzA müssen nicht nur wirksam umgesetzt sein, sondern die Implementierung muss auch von einer unabhängigen Stelle wie TÜV SÜD geprüft werden. Anschließend ist dem BSI der ausgestellte Nachweis vorzulegen.

Betreiber von Energieversorgungsnetzen und solchen Energieanlagen, die nach der Rechtsverordnung gemäß § 10 Absatz 1 BSIG als kritische Infrastruktur gelten, haben gemäß § 11 Absatz 1f EnWG dem BSI erstmalig am 1. Mai 2023 und danach alle zwei Jahre die Erfüllung der Anforderungen nach § 11 Absatz 1e EnWG nachzuweisen. Diese Fristen gelten unabhängig von laufenden oder geplanten Zertifizierungsverfahren nach dem IT-Sicherheitskatalog der Bundesnetzagentur.

Für alle anderen regulierten KRITIS-Betreiber ist ebenfalls der 1. Mai 2023 Stichtag. Ab diesem Datum müssen die eingereichten Nachweise Aussagen zur Umsetzung des § 8a Absatz 1a BSIG, also zum Einsatz von Angriffserkennungssystemen, enthalten, um als vollständig zu gelten.

Da die Einführung von SzA ein längerfristig angelegter Prozess ist, wird im ersten Nachweiszyklus ein Umsetzungsgrad der Stufe 3 (Ebene 4 von 6) zur Erfüllung der Anforderungen nach § 8a Absatz 1a BSIG bzw. § 11 Absatz 1e EnWG durch das BSI als ausreichend akzeptiert. Festgestellte Abweichungen nach unten sind jedoch zu begründen und nur in Ausnahmefällen vertretbar. Langfristig muss die Stufe 4 nachgewiesen werden.

  • Nachweis-Sicherheit: Sie bekommen einen Prüfbericht, der dem BSI Ihre IT-Sicherheit und das umgesetzte SzA eindeutig belegt
  • Kompetent und genügend Ressourcen: Zügige Umsetzung Ihres Zertifizierungs-Projektes
  • Umfangreiches Branchenknow-how: Profitieren Sie von unserer jahrelangen Erfahrung im Bereich kritischer Infrastrukturen 
 

Betrifft die BSI-Kritis V auch Sie?

Als kritisch im Sinne der BSI-KritisV gelten Versorgungs-Dienstleistungen für die Allgemeinheit, deren Ausfall oder Störung erhebliche Engpässe hervorrufen oder die öffentliche Sicherheit gefährden würde. Unternehmen gelten in der Regel als kritische Infrastrukturen, wenn sie mehr als 500.000 Personen versorgen, in manchen Fällen wurde allerdings eine andere Bemessungsgröße gewählt. Die Verordnung richtet sich an folgende Branchen:

  • Energie (Strom- und Gasversorgung)
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen

Kleine und mittelständische Unternehmen (KMUs) fallen durch das Raster des IT-Sicherheitsgesetzes. Allerdings: Wenn Sie KRITIS-Unternehmen beliefern, lohnt es sich trotzdem über eine Cyber-Security-Zertifizierung nachzudenken. Denn große Auftraggeber erwarten meist bestimmte Sicherheitsvorkehrungen von ihren Zulieferern – und müssen dies auch, um ihrerseits entsprechende Nachweise erbringen zu können. Die bekannteste Informationssicherheitsnorm ist die ISO/IEC 27001 für Informationssicherheits-Managementsysteme. Mit TÜV SÜD profitieren Sie hierbei von einer effizienten Abwicklung und dem blauen Oktagon, das weltweit für Qualität und Verlässlichkeit steht.

Welche Fristen gibt die KRITIS-Verordnung vor?

KRITIS Sektoren 2023 TÜV SÜDEnergienetzbetreiber müssen bereits seit dem 31. Januar 2018 nach dem IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG zertifiziert sein.

Als Stichtag für den Nachweis nach § 8a BSIG galt für die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation der 3. Mai 2018. Der nächste Nachweis für diese Branchen war 2020 fällig.

Betreiber in Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen mussten den Nachweis nach § 8a BSIG spätestens bis Juni 2019 erbringen, der nächste Nachweis musste 2021 vorliegen.

Betreiber von Energieversorgungsnetzen und solchen Energieanlagen, die nach der Rechtsverordnung gemäß § 10 Absatz 1 BSIG als Kritische Infrastruktur gelten, müssen erstmals zum 01.05.2023 ein implementiertes System zur Angriffserkennung (SzA) nachweisen. Alle anderen regulierten KRITIS-Betreiber sind verpflichtet ein solches System bis dahin implementieren; der entsprechende regelmäßig zu erbringende Nachweis muss ab dem 01.05.2023 (Einreichungstermin) Aussagen zu SzA enthalten.

Grafik ©TÜV SÜD

Wie der Nachweis nach dem BSIG auszusehen hat

Bei Unternehmen, die unter die Kritis-Verordnung fallen, geht es in puncto IT-Sicherheit nicht allein um die Unternehmensziele. Da Störungen Tausende Endnutzer betreffen, sind die Anforderungen des BSIG strenger als die bekannten Normen. Betreiber kritischer Anlagen müssen einen speziellen Prüfbericht anfertigen lassen, der dem BSI bestätigt, dass die IT-Sicherheit dem „Stand der Technik“ entspricht. Klarheit, wie der Nachweis konkret auszusehen hat, schaffen zum Beispiel vom BSI anerkannte branchenspezifische Sicherheitsstandards (B3S), die Unternehmen oder Verbände in den einzelnen Sektoren gemeinsam erarbeiten können.

Eine wichtige Informationsquelle in diesem Kontext ist UP Kritis. Hierbei handelt es sich um eine öffentlich-private Kooperation für Cybersicherheit zwischen KRITIS-Betreibern, ihren Verbänden und den zuständigen Bundesämtern. Die Initiative dient unter anderem der Risikobewertung und dem Krisenmanagement in der IT-Sicherheit. Sie bietet mit der Internetplattform zum Schutz Kritischer Infrastrukturen auch ein Online-Forum zum Austausch.

Mehr dazu, warum eine Zertifizierung nach ISO- oder IEC-Standards für KRITIS nach dem IT-Sicherheitsgesetz allein nicht ausreicht, erfahren Sie unter "Kritische Infrastruktur – Wer? Was? Wann?".

Im Gegensatz zu anderen Zertifizierungen mit 3-Jahres-Turnus verlangt das BSIG von kritischen Unternehmen alle 2 Jahre einen Prüfbericht. Umso wichtiger ist es, den Aufwand bei den häufigen Auditierungen gering zu halten. Entscheiden Sie sich deshalb für eine kompetente, renommierte Prüfstelle. Dank des personenstarken Teams von TÜV SÜD steht jederzeit genug geschultes Personal zur Verfügung, um Ihr Projekt professionell und zügig abzuwickeln.


Warum TÜV SÜD?

  • Ganz gleich, in welcher Branche Ihre Organisation tätig ist, können sie sich auf die Fachkenntnis der Auditoren von TÜV SÜD verlassen. Sie sind hochqualifiziert und erfahren in der Bewertung von IT-Service- und anderen Managementsystemen für die verschiedensten Industriezweige.
  • Dank unseres globalen Expertennetzwerks, können Sie Niederlassungen weltweit durch ein und dieselbe Prüfstelle zertifizieren lassen.
  • Um verschiedensten internationalen Standards gerecht zu werden, bietet Ihnen TÜV SÜD ganzheitlichen Service. So steht Ihnen ein breites Portfolio an IT-Tests und Cyber-Security-Zertifizierungen zur Verfügung.
  • Mit einem Prüfsiegel von TÜV SÜD setzen Sie ein Zeichen für Qualität und Integrität. Denn TÜV SÜD steht weltweit für Zuverlässigkeit, Unabhängigkeit und Neutralität.
  • Durch das weltweit renommierte Prüfzeichen kommunizieren Sie Ihre Qualitätsstandards und heben sich von der Konkurrenz ab.

Jetzt ein unverbindliches Angebot erhalten

Ein individuelles Angebot für den Nachweis nach § 8a BSIG verschafft Ihnen einen Überblick über Vorgehen und Kosten. Unsere Experten informieren Sie gern. Geben Sie einfach Ihre Kontakt- und einige Eckdaten zum Unternehmen an und Sie erhalten weitere Informationen rund um den Nachweis über den „Stand der Technik“.

Unverbindliches Angebot anfragen

Wissenswert

KRITIS benötigen System zur Angriffserkennung
Stories

KRITIS benötigen System zur Angriffserkennung

Betreiber von kritischen Infrastrukturen sind verpflichtet, ihre IT-Systeme optimal zu schützen.

Mehr lesen

Cybersecurity Certification Sicherheit mit Siegel
Stories

Sicherheit mit Siegel

Die Rolle von Zertifizierungen in der Cyberwelt

Mehr erfahren

ISO 27001
Video

Video zur Informations-sicherheit

Erfahren Sie in unserem Video, wieso die ISO/IEC 27001 u.a. zur Risikominimierung wichtig ist.

Jetzt Video anschauen

UP KRITIS
Flyer

Der Flyer zum UP KRITIS

Was ist UP KRITIS und welche Vorteile hat dadurch Ihr Unternehmen?

Download

IT-Sicherheitskatalog
White Paper

IT-Sicherheitskatalog

Laden Sie sich den IT-Sicherheitskatalog der Bundesnetzagentur herunter.

Download

Übergang ISO/IEC 27001:2022
Infografik

Übergang zur ISO/IEC 27001:2022

Neue Version ISO/IEC 27001:2022 - Cybersicherheit und Datenschutz im Fokus

Erfahren Sie mehr

Cybersecurity: Neue ISO/IEC 27001-Version
Stories

Cybersecurity: Neue ISO/IEC 27001-Version

TÜV SÜD fasst die wichtigsten Änderungen zusammen.

Mehr lesen

Cyber Security Zertifizierungen
Veranstaltung

„it-sa 365“ Trends & Innovationen der IT-Security Branche

Cybersecurity-Zertifizierungen: ISO/IEC 27001, TISAX®, KRITIS & more. Vertrauen schaffen bei der IT-Sicherheit Ihrer Projekte/Prozesse.

JETZT INFORMIEREN!

Cyber Security Zertifizierungen
Stories

Studie Cloud Security 2021

Die ISO / IEC 27001 spielt auch im Cloudumfeld die zentrale Rolle. Lesen Sie mehr in der neuen Cloud Security Studie von IDG Research Services.

Zum Download

Freelancer

Freiberuflich bei TÜV SÜD auditieren

Die Nachfrage nach Zertifizierungsdienstleistungen steigt. Daher erweitert TÜV SÜD laufend sein Netzwerk mit freien Auditor*innen.

Erfahren Sie mehr

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German