Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

Value Newsletter

Neuigkeiten aus der Zertifizierwelt

Kritische Infrastruktur (KRITIS): Nachweisfrist für erste Sektoren endet

Kritische Infrastruktur muss funktionieren. Deshalb gelten in Deutschland hohe IT-Sicherheitsanforderungen für Unternehmen in gesetzlich definierten Branchen. Am 3. Mai endet die Nachweisfrist für die Sektoren Energie, Wasser, Ernährung, IT und Telekommunikation.

Energienetzbetreiber mussten ihre Zertifikate gemäß § 11 Abs. 1a Energiewirtschaftsgesetz am 31. Januar einreichen. Wer nicht pünktlich liefern konnte, der hat bereits Post von der Bundesnetzagentur bekommen. Vor einer ähnlichen Aufgabe stehen nun Unternehmen aus den Sektoren Energie, Wasser, Ernährung sowie IT und Telekommunikation. Sie zählen hierzulande ebenfalls zur kritischen Infrastruktur, die im BSI-Gesetz festgelegt ist, und müssen ihre entsprechenden Nachweise bis 3. Mai einreichen – dann läuft die zweijährige Einführungsfrist ab. Allerdings fallen nicht alle Unternehmen dieser vier Branchen unter diese Regelung, sondern erst ab einer bestimmten Größe. Ein grober Anhaltspunkt für die Einordnung: Versorgung von mehr als 500.000 Menschen. Dann sind angemessene IT-Sicherheitsmaßnahmen, unter Berücksichtigung des Standes der Technik, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen – künftig alle zwei Jahre.

Prüfgrundlage: ISO/IEC 27001 + X oder branchenspezifischer Standard?

Als ein Baustein für den Nachweis, dass angemessene organisatorische und technische Vorkehrungen getroffen wurden, um Störungen zu vermeiden, kann eine ISO/IEC-27001-Zertifizierung mitverwendet werden. Allerdings reicht sie alleine nicht aus, und es müssen weitere Rahmenbedingungen erfüllt sein, die dem BSI durch zusätzliche Maßnahmen und Dokumente zu bestätigen sind. Eindeutige Vorgaben und Regelungen, wie die Maßnahmen bzw. auch der Nachweis konkret auszusehen haben, darüber schweigt sich das BSI aus, immerhin gibt es jedoch Formulare, die für die Einreichung vorgesehen sind. Grundsätzlich gilt: Die Behörde fordert keine spezielle Zertifizierung, sondern vielmehr Nachweise über die Umsetzung des Standes der Technik. Das BSI sieht allerdings die Möglichkeit vor, dass Unternehmen aus einem bestimmten Sektor gemeinsam einen branchenspezifischen Sicherheitsstandard (B3S) erarbeiten. Wird dieser vom BSI als anerkannt, erhält er eine Gültigkeit von zwei Jahren. Alle Unternehmen des Sektors können diesen Standard umsetzen und in einem Audit durch ein unabhängiges Prüfinstitut bestätigen lassen. Sie können aber auch andere zielführende Maßnahmen ergreifen und diese prüfen lassen – sie sind nicht gezwungen, den B3S zu verwenden. Bisher gibt es jedoch ohnehin nur einen durch das BSI bestätigten B3S, und zwar im Sektor Wasser.

Jetzt Termine vereinbaren

Wichtig bei der Auswahl einer geeigneten prüfenden Stelle ist, dass man auf Partner setzt, dem genügend Fachpersonal mit spezieller Branchenkenntnis und breiter Erfahrung im Bereich IT-Sicherheit zur Verfügung steht. Denn wenn der Stichtag naht, werden die möglichen Prüftermine knapp – speziell dann, wenn wie in diesem Fall noch einige Feiertage vor Ablauf der Frist am 3. Mai anstehen. Und die Behörden haben bereits gezeigt, dass sie nicht willens sind, Verzögerungen hinzunehmen; sie werden zügig aktiv.

Übrigens: Für Unternehmen aus den Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr läuft die Frist als Nächstes ab; sie müssen dem BSI bis zum 30. Juni 2019 die Sicherheit ihrer IT-Systeme nachweisen.

Weitere Informationen erhalten Sie auf unserer Website zur ISO 27001.

TÜV SÜD Ansprechpartner: Alexander Häußler, Produktmanager ISO/IEC 27001, TÜV SÜD Management Service GmbH

Wie können wir Ihnen helfen?

WORLDWIDE

Global

Americas

Asia

Europe

Middle East and Africa