Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

Value Newsletter

Verpassen Sie keine wichtigen News aus der Zertifizierwelt

Kritische Infrastruktur – Wer? Was? Wann?

Betreiber von kritischen Infrastrukturen müssen hohe Anforderungen im Bereich IT-Sicherheit erfüllen, um Störungen zu vermeiden. Seit Juni 2017 gelten die Vorschriften des IT-Sicherheitsgesetzes auch für die Sektoren Finanzen und Versicherung, Transport und Verkehr sowie Gesundheit.

Die Welt ist digital, vernetzt und von Maschinen gesteuert – ohne eine sichere IT steht die Welt still. Speziell die kritische Infrastruktur (KRITIS) ist – wie der Name schon sagt – besonders schützenswert, deshalb müssen Betreiber hohe Mindestanforderungen im Bereich IT-Sicherheit erfüllen und sind verpflichtet, Datenpannen und Cyberattacken behördlich zu melden. Im Juni 2017 ist der zweite Korb der BSI-KRITIS-Verordnung in Kraft getreten, der unter anderem jetzt auch die Sektoren Finanzen und Versicherung, Transport und Verkehr sowie Gesundheit dazu verpflichtet, bis Juni 2019 die hohen Sicherheitsanforderungen umzusetzen und nachzuweisen.

Das 2015 in Kraft getretene IT-Sicherheitsgesetz definiert diejenigen Branchen als kritische Infrastruktur, bei denen eine Störung oder ein Ausfall dramatische wirtschaftliche und gesellschaftliche Folgen hätte. Diese sieben Sektoren sind: Energie, Wasser, Ernährung, IT und Telekommunikation, Transport und Verkehr, Gesundheit sowie Finanzen und Versicherung. Allerdings: Es fällt nicht automatisch jedes branchenzugehörige Unternehmen unter die Nachweispflicht; diese beginnt erst ab einer gewissen Größe bzw. Wichtigkeit. Industrieverbände und -vertreter haben sich dazu gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auf konkrete Kriterien verständigt, die in der BSI-KRITIS-Verordnung festgeschrieben sind. Als Anhaltspunkt gilt: Sind bei einer Betriebsstörung mehr als 500.000 Menschen betroffen, zählt das Unternehmen zur kritischen Infrastruktur.

ISO/IEC 27001-Zertifizierung alleine nicht ausreichend

Unternehmen der kritischen Infrastruktur sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen zu vermeiden. Ein entsprechender Nachweis ist alle zwei Jahre zu erbringen. Allerdings macht das BSI keine genauen Vorschriften darüber, wie dieser Nachweis konkret auszusehen hat, es gibt lediglich die Art der einzureichenden Unterlagen vor.

Nicht ausreichend ist in der Regel eine ausschließliche ISO/IEC 27001-Zertifizierung. Die Begründung: Unternehmen können im Rahmen dieser international anerkannten Norm bestimmte Risiken akzeptieren, wenn sie keine größere Gefahr für das Unternehmen darstellen. Das aber ist für das BSI inakzeptabel. Denn entscheidend sind die Auswirkungen auf die versorgten Personen – und nicht nur die auf das Unternehmen. Das bedeutet für Betreiber: Sie müssen nach internen Audits oder Zertifizierungen die Maßnahmen auch von externen Prüfern in einem eigenen Prüfbericht bestätigen lassen, dass die IT-Sicherheitsvorkehrungen dem vom BSI geforderten „Stand der Technik“ entsprechen. Für die Branchen Energie, IT und Telekommunikation, Wasser sowie Ernährung endet die Frist für die Nachweispflicht im Mai 2018.

Um die Nachweispflicht etwas einfacher zu gestalten, gibt es die Möglichkeit, dass Unternehmen aus einem jeweiligen Sektor gemeinsam einen branchenspezifischen Sicherheitsstandard (B3S) erarbeiten und ihn vom BSI als Stand der Technik absegnen lassen. Dann müssen die KRITIS-Betreiber dieser Branche nur noch diesen Standard umsetzen und die lückenlose Umsetzung von einem unabhängigen Prüfer bestätigen lassen. Damit ist die Nachweispflicht erfüllt.

Prüfbericht statt Zertifizierung

Wichtig: Das BSI verlangt von den KRITIS-Betreibern keine spezielle Zertifizierung, sondern einen Prüfbericht. Bei der Auswahl einer geeigneten unabhängigen Prüfstelle sollten Unternehmen auf etablierte Institutionen wie TÜV SÜD setzen. So ist sichergestellt, dass genug speziell geschultes Personal zur Verfügung steht und ein Audit professionell sowie selbst in einem engen Zeitrahmen durchgeführt werden kann. Das BSI geht davon aus, dass dieser Prozess zwischen 20 und 40 Tagen dauern kann. Sobald der Prüfbericht vorliegt, kann ihn der Betreiber mitsamt allen nötigen Formularen beim BSI einreichen. Eine weitere Anforderung ist das Benennen einer Kontaktstelle zum BSI, um sich im Notfall schnell und einfach mit der Behörde koordinieren und Störungen schnell melden zu können. Zur Vorbereitung auf das Audit gehören zudem ein Netzstrukturplan, Risikoanalysen, definierte und geplante Maßnahmen sowie Ziele. Bevor der externe Prüfer ins Haus kommt, sollte ein internes Audit die Wirksamkeit der Maßnahmen bestätigt haben.

Von der neuen Gesetzgebung profitieren KRITIS-Betreiber erheblich: Einerseits verfügen sie nach der Umsetzung über eine geprüfte, sichere IT-Infrastruktur, andererseits sind sie in den Informationsfluss des BSI integriert und haben damit einen ständigen Überblick über die aktuelle Sicherheitslage und neue Cybergefahren, auf die sie sich dann zielgerichtet vorbereiten können.

Weitere Informationen dazu erhalten sie auf unserer Website IT-Management-Zertifizierung

Ansprechpartner: Alexander Häußler, Produktmanager ISO/IEC 27001

Wie können wir Ihnen helfen?

WORLDWIDE

Global

Americas

Asia

Europe

Middle East and Africa