Betreiber kritischer Infrastrukturen (KRITIS) müssen gemäß § 8a BSIG nachweisen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Dass Strom aus der Steckdose, Wasser aus dem Hahn und der Nahverkehr nach Plan kommt, ist hierzulande zwar eine Selbstverständlichkeit. Doch diese und viele weitere Systeme, auf die wir uns im Alltag verlassen, laufen zunehmend digital oder zumindest digital unterstützt ab. Das macht Infrastrukturen schneller, präziser, intelligenter – aber auch verwundbarer. Deshalb nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Betreiber in die Pflicht, diese kritischen Infrastrukturen bestmöglich abzusichern. Die BSI-Kritis-Verordnung (BSI-KritisV) beschreibt, welche Anlagen in den jeweiligen Sektoren als kritisch gelten und fordert von den jeweiligen Betreibern einen Nachweis über den Schutz ihrer Informationstechnik.
Ab dem 1. Mai 2023 sind sie nun auch verpflichtet, ein System zur Angriffserkennung zu etablieren, es prüfen zu lassen und einen entsprechenden Nachweis vorzulegen – gemäß IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0).
Das IT-SiG 2.0 steht für eine moderne Cybersicherheit und will die Sicherheit informationstechnischer Systeme weiter verbessern. Betreiber kritischer Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Im Rahmen des 2. IT-Sicherheitsgesetzes wird im neuen § 8a Absatz 1a BSIG auch ausdrücklich der Einsatz von Systemen zur Angriffserkennung (SzA) gefordert. Sie stellen eine effektive Maßnahme zur (frühzeitigen) Erkennung von Cyber-Angriffen dar und unterstützen insbesondere die Schadensreduktion und Schadensvermeidung.
Orientierungshilfe des BSI gibt Anhaltspunkte zur Umsetzung eines SzA
Die eher abstrakten Anforderungen aus § 8a Abs. 1a hat das BSI im September 2022 mit einer Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung konkretisiert. Sie gibt Unternehmen klare Anhaltspunkte zur individuellen Gestaltung eines Angriffserkennungssystems und definiert verbindliche Anforderungen rund um Protokollierung, Detektion (Erkennung) und Reaktion für Betreiber. Dabei geht es sowohl um technische Kriterien als auch um organisatorische und prozessuale Anforderungen.
Wichtig: Die SzA müssen nicht nur wirksam umgesetzt sein, sondern die Implementierung muss auch von einer unabhängigen Stelle wie TÜV SÜD geprüft werden. Anschließend ist dem BSI der ausgestellte Nachweis vorzulegen.
Betreiber von Energieversorgungsnetzen und solchen Energieanlagen, die nach der Rechtsverordnung gemäß § 10 Absatz 1 BSIG als kritische Infrastruktur gelten, haben gemäß § 11 Absatz 1f EnWG dem BSI erstmalig am 1. Mai 2023 und danach alle zwei Jahre die Erfüllung der Anforderungen nach § 11 Absatz 1e EnWG nachzuweisen. Diese Fristen gelten unabhängig von laufenden oder geplanten Zertifizierungsverfahren nach dem IT-Sicherheitskatalog der Bundesnetzagentur.
Für alle anderen regulierten KRITIS-Betreiber ist ebenfalls der 1. Mai 2023 Stichtag. Ab diesem Datum müssen die eingereichten Nachweise Aussagen zur Umsetzung des § 8a Absatz 1a BSIG, also zum Einsatz von Angriffserkennungssystemen, enthalten, um als vollständig zu gelten.
Da die Einführung von SzA ein längerfristig angelegter Prozess ist, wird im ersten Nachweiszyklus ein Umsetzungsgrad der Stufe 3 (Ebene 4 von 6) zur Erfüllung der Anforderungen nach § 8a Absatz 1a BSIG bzw. § 11 Absatz 1e EnWG durch das BSI als ausreichend akzeptiert. Festgestellte Abweichungen nach unten sind jedoch zu begründen und nur in Ausnahmefällen vertretbar. Langfristig muss die Stufe 4 nachgewiesen werden.
Als kritisch im Sinne der BSI-KritisV gelten Versorgungs-Dienstleistungen für die Allgemeinheit, deren Ausfall oder Störung erhebliche Engpässe hervorrufen oder die öffentliche Sicherheit gefährden würde. Unternehmen gelten in der Regel als kritische Infrastrukturen, wenn sie mehr als 500.000 Personen versorgen, in manchen Fällen wurde allerdings eine andere Bemessungsgröße gewählt. Die Verordnung richtet sich an folgende Branchen:
Kleine und mittelständische Unternehmen (KMUs) fallen durch das Raster des IT-Sicherheitsgesetzes. Allerdings: Wenn Sie KRITIS-Unternehmen beliefern, lohnt es sich trotzdem über eine Cyber-Security-Zertifizierung nachzudenken. Denn große Auftraggeber erwarten meist bestimmte Sicherheitsvorkehrungen von ihren Zulieferern – und müssen dies auch, um ihrerseits entsprechende Nachweise erbringen zu können. Die bekannteste Informationssicherheitsnorm ist die ISO/IEC 27001 für Informationssicherheits-Managementsysteme. Mit TÜV SÜD profitieren Sie hierbei von einer effizienten Abwicklung und dem blauen Oktagon, das weltweit für Qualität und Verlässlichkeit steht.
Energienetzbetreiber müssen bereits seit dem 31. Januar 2018 nach dem IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG zertifiziert sein.
Als Stichtag für den Nachweis nach § 8a BSIG galt für die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation der 3. Mai 2018. Der nächste Nachweis für diese Branchen war 2020 fällig.
Betreiber in Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen mussten den Nachweis nach § 8a BSIG spätestens bis Juni 2019 erbringen, der nächste Nachweis musste 2021 vorliegen.
Betreiber von Energieversorgungsnetzen und solchen Energieanlagen, die nach der Rechtsverordnung gemäß § 10 Absatz 1 BSIG als Kritische Infrastruktur gelten, müssen erstmals zum 01.05.2023 ein implementiertes System zur Angriffserkennung (SzA) nachweisen. Alle anderen regulierten KRITIS-Betreiber sind verpflichtet ein solches System bis dahin implementieren; der entsprechende regelmäßig zu erbringende Nachweis muss ab dem 01.05.2023 (Einreichungstermin) Aussagen zu SzA enthalten.
Grafik ©TÜV SÜD
Bei Unternehmen, die unter die Kritis-Verordnung fallen, geht es in puncto IT-Sicherheit nicht allein um die Unternehmensziele. Da Störungen Tausende Endnutzer betreffen, sind die Anforderungen des BSIG strenger als die bekannten Normen. Betreiber kritischer Anlagen müssen einen speziellen Prüfbericht anfertigen lassen, der dem BSI bestätigt, dass die IT-Sicherheit dem „Stand der Technik“ entspricht. Klarheit, wie der Nachweis konkret auszusehen hat, schaffen zum Beispiel vom BSI anerkannte branchenspezifische Sicherheitsstandards (B3S), die Unternehmen oder Verbände in den einzelnen Sektoren gemeinsam erarbeiten können.
Eine wichtige Informationsquelle in diesem Kontext ist UP Kritis. Hierbei handelt es sich um eine öffentlich-private Kooperation für Cybersicherheit zwischen KRITIS-Betreibern, ihren Verbänden und den zuständigen Bundesämtern. Die Initiative dient unter anderem der Risikobewertung und dem Krisenmanagement in der IT-Sicherheit. Sie bietet mit der Internetplattform zum Schutz Kritischer Infrastrukturen auch ein Online-Forum zum Austausch.
Mehr dazu, warum eine Zertifizierung nach ISO- oder IEC-Standards für KRITIS nach dem IT-Sicherheitsgesetz allein nicht ausreicht, erfahren Sie unter "Kritische Infrastruktur – Wer? Was? Wann?".
Im Gegensatz zu anderen Zertifizierungen mit 3-Jahres-Turnus verlangt das BSIG von kritischen Unternehmen alle 2 Jahre einen Prüfbericht. Umso wichtiger ist es, den Aufwand bei den häufigen Auditierungen gering zu halten. Entscheiden Sie sich deshalb für eine kompetente, renommierte Prüfstelle. Dank des personenstarken Teams von TÜV SÜD steht jederzeit genug geschultes Personal zur Verfügung, um Ihr Projekt professionell und zügig abzuwickeln.
Ein individuelles Angebot für den Nachweis nach § 8a BSIG verschafft Ihnen einen Überblick über Vorgehen und Kosten. Unsere Experten informieren Sie gern. Geben Sie einfach Ihre Kontakt- und einige Eckdaten zum Unternehmen an und Sie erhalten weitere Informationen rund um den Nachweis über den „Stand der Technik“.
Betreiber von kritischen Infrastrukturen sind verpflichtet, ihre IT-Systeme optimal zu schützen.
Mehr lesen
Was Sie beachten müssen.
Mehr erfahren
Erfahren Sie in unserem Video, wieso die ISO/IEC 27001 u.a. zur Risikominimierung wichtig ist.
Jetzt Video anschauen
Laden Sie sich den IT-Sicherheitskatalog der Bundesnetzagentur herunter.
Download
Neue Version ISO/IEC 27001:2022 - Cybersicherheit und Datenschutz im Fokus
Erfahren Sie mehr
TÜV SÜD fasst die wichtigsten Änderungen zusammen.
Mehr lesen
Cybersecurity-Zertifizierungen: ISO/IEC 27001, TISAX®, KRITIS & more. Vertrauen schaffen bei der IT-Sicherheit Ihrer Projekte/Prozesse.
JETZT INFORMIEREN!
Die ISO / IEC 27001 spielt auch im Cloudumfeld die zentrale Rolle. Lesen Sie mehr in der neuen Cloud Security Studie von IDG Research Services.
Zum Download
Die Nachfrage nach Zertifizierungsdienstleistungen steigt. Daher erweitert TÜV SÜD laufend sein Netzwerk mit freien Auditor*innen.
Erfahren Sie mehr