KRITIS benötigen System zur Angriffserkennung

KRITIS benötigen System zur Angriffserkennung

KRITIS benötigen System zur Angriffserkennung

Betreiber von kritischen Infrastrukturen sind verpflichtet, ihre IT-Systeme optimal zu schützen. Jetzt müssen sie ein System zur Angriffserkennung (SzA) etablieren, prüfen lassen und einen entsprechenden Nachweis vorlegen. Die Frist dafür läuft bald ab.

Die Betreiber von kritischen Infrastrukturen (KRITIS) sind in besonderem Maße dafür mitverantwortlich, dass das gesellschaftliche Leben zu keinem Zeitpunkt beeinträchtigt wird. Um Betriebsausfälle zu vermeiden, müssen sie deshalb nicht zuletzt Mindeststandards für ihre IT-Sicherheit einhalten. Mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) hat der Gesetzgeber die Anforderungen für KRITIS erweitert. Das IT-SiG 2.0 steht für moderne Cyber Security und will die Sicherheit informationstechnischer Systeme weiter verbessern. Betreiber kritischer Infrastrukturen sind damit verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. § 8a Absatz 1a des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) fordert dabei ausdrücklich den Einsatz eines Systems zur Angriffserkennung (SzA). Denn mit solchen SzA lassen sich Cyber-Angriffe früh erkennen und damit ein möglicher Schaden so gering wie möglich halten, wenn nicht gar gänzlich vermeiden.

Nachweisfrist läuft zum 1. Mai 2023 ab

Wie ein solches System auszusehen hat, konkretisierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im September 2022 in einer Orientierungshilfe. Umzusetzen und zu betreiben ist das SzA von Betreibern von Energieversorgungsnetzen und solchen Energieanlagen, die zu KRITIS zählen, erstmalig bis zum 1. Mai 2023 – und zwar inklusive eines entsprechenden Nachweises. Das bedeutet, dass das SzA nicht nur wirksam implementiert, sondern auch von einer unabhängigen Stelle wie TÜV SÜD geprüft und der Nachweis an das BSI gesendet sein muss. Das gilt unabhängig von laufenden oder geplanten Zertifizierungsverfahren nach dem IT-Sicherheitskatalog der Bundesnetzagentur. Für alle anderen regulierten KRITIS-Betreiber ist ebenfalls der 1. Mai 2023 Stichtag. Um als vollständig zu gelten, müssen ab diesem Datum die eingereichten Nachweise Aussagen zur Umsetzung des § 8a Absatz 1a BSIG enthalten, also zum Einsatz von Angriffserkennungssystemen.

Weitere Informationen: KRITIS - Nachweis über angemessene IT-Sicherheit | TÜV SÜD (tuvsud.com)

Ansprechpartner: Thomas Janz, Product Compliance Manager, TÜV SÜD Management Service GmbH


Wissenswert

IT Sicherheitskatalog

IT-SICHERHEITSKATALOG gem. §11 Abs. 1a EnWG und gem. §11 Abs. 1b EnWG

Zertifizierung nach dem IT-Sicherheitskatalog der Bundesnetzagentur (BNETZA)

Erfahren Sie mehr

IT Management

IT-MANAGEMENT ZERTIFIZIERUNG

Eine starke Basis für das Vertrauen Ihrer Kunden und Mitarbeiter

Erfahren Sie mehr

UP KRITIS
Flyer

Der Flyer zum UP KRITIS

Was ist UP KRITIS und welche Vorteile hat dadurch Ihr Unternehmen?

Download

KRITIS

KRITIS

Nachweis über angemessene IT-Sicherheit

Erfahren Sie mehr

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German