Für kritische Infrastrukturen
Für kritische Infrastrukturen
Betreiber von kritischen Infrastrukturen sind verpflichtet, ihre IT-Systeme optimal zu schützen. Jetzt müssen sie ein System zur Angriffserkennung (SzA) etablieren, prüfen lassen und einen entsprechenden Nachweis vorlegen. Die Frist dafür läuft bald ab.
Die Betreiber von kritischen Infrastrukturen (KRITIS) sind in besonderem Maße dafür mitverantwortlich, dass das gesellschaftliche Leben zu keinem Zeitpunkt beeinträchtigt wird. Um Betriebsausfälle zu vermeiden, müssen sie deshalb nicht zuletzt Mindeststandards für ihre IT-Sicherheit einhalten. Mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) hat der Gesetzgeber die Anforderungen für KRITIS erweitert. Das IT-SiG 2.0 steht für moderne Cyber Security und will die Sicherheit informationstechnischer Systeme weiter verbessern. Betreiber kritischer Infrastrukturen sind damit verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. § 8a Absatz 1a des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) fordert dabei ausdrücklich den Einsatz eines Systems zur Angriffserkennung (SzA). Denn mit solchen SzA lassen sich Cyber-Angriffe früh erkennen und damit ein möglicher Schaden so gering wie möglich halten, wenn nicht gar gänzlich vermeiden.
Wie ein solches System auszusehen hat, konkretisierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im September 2022 in einer Orientierungshilfe. Umzusetzen und zu betreiben ist das SzA von Betreibern von Energieversorgungsnetzen und solchen Energieanlagen, die zu KRITIS zählen, erstmalig bis zum 1. Mai 2023 – und zwar inklusive eines entsprechenden Nachweises. Das bedeutet, dass das SzA nicht nur wirksam implementiert, sondern auch von einer unabhängigen Stelle wie TÜV SÜD geprüft und der Nachweis an das BSI gesendet sein muss. Das gilt unabhängig von laufenden oder geplanten Zertifizierungsverfahren nach dem IT-Sicherheitskatalog der Bundesnetzagentur. Für alle anderen regulierten KRITIS-Betreiber ist ebenfalls der 1. Mai 2023 Stichtag. Um als vollständig zu gelten, müssen ab diesem Datum die eingereichten Nachweise Aussagen zur Umsetzung des § 8a Absatz 1a BSIG enthalten, also zum Einsatz von Angriffserkennungssystemen.
Weitere Informationen: KRITIS - Nachweis über angemessene IT-Sicherheit
Ansprechpartner: Thomas Janz, Product Compliance Manager, TÜV SÜD Management Service GmbH
Zertifizierung nach dem IT-Sicherheitskatalog der Bundesnetzagentur (BNETZA)
Erfahren Sie mehr
Eine starke Basis für das Vertrauen Ihrer Kunden und Mitarbeiter
Erfahren Sie mehr
