Neuigkeiten aus der Zertifizierwelt
Neuigkeiten aus der Zertifizierwelt
Betreiber von kritischen Infrastrukturen tragen eine gesamtgesellschaftliche Verantwortung und sind deshalb gesetzlich verpflichtet, besondere IT-Sicherheitsvorkehrungen zu treffen. 2020 steht für KRITIS-Unternehmen des sogenannten ersten Korbs der zweite Nachweis an.
Wasser aus dem Hahn und Strom aus der Steckdose – damit der Alltag für die Bürger auch Alltag bleibt, müssen Betreiber von kritischen Infrastrukturen (KRITIS) hohe Mindestanforderungen im Bereich IT-Sicherheit erfüllen. Das 2015 in Kraft getretene IT-Sicherheitsgesetz legt fest, in welchen Branchen eine Störung oder ein Ausfall dramatische wirtschaftliche und gesellschaftliche Folgen hätte. Dazu zählen Energie, Wasser, Ernährung, IT und Telekommunikation, Transport und Verkehr, Gesundheit sowie Finanzen und Versicherung. Unternehmen aus diesen Sektoren sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Nachweis zu erbringen, dass ihre Vorkehrungen dem „Stand der Technik“ entsprechen – jedoch erst ab einer gewissen Größe und Systemrelevanz. Die konkreten Kriterien sind in der BSI-KRITIS-Verordnung festgelegt, als Anhaltspunkt gilt jedoch: Sind mehr als 500.000 Menschen von einer Betriebsstörung betroffen, ist das Unternehmen Teil der kritischen Infrastruktur. Der erste Korb – Netzbetreiber, Versorger/Erzeuger (Energie), IT/Telekommunikation, Ernährung und Wasser – hat bereits eine Nachweisrunde hinter sich. 2020 müssen sie dem BSI allerdings erneut den Nachweis erbringen, dass ihre Vorkehrungen dem dann aktuellen Stand der Technik entsprechen.
Der Audit-Aufwand war speziell bei Unternehmen hoch, die sich davor noch nicht tiefergehend mit Informationssicherheit auseinandergesetzt haben. Wer hingegen etwa bereits mit der ISO 27001 oder dem IT-Grundschutz vertraut war, konnte auf einem starken Fundament aufbauen – denn nicht zuletzt ist die Relevanz des Themas allen Mitarbeitern bewusst. Dort lief die Prüfung meist relativ flüssig. Das ist eine gute Nachricht für alle Unternehmen, denn durch den ersten Nachweis haben sie sich zwangsläufig gründlich mit Informationssicherheit auseinandergesetzt. Davon können sie in der neuen Runde profitieren.
Wichtig allerdings für alle KRITIS-Unternehmen, die sich jetzt der Rezertifizierung unterziehen müssen: Der Kern ist zwar der gleiche geblieben, nicht aber die regulatorische Lage und die Anforderungen rund um KRITIS. So wurde beim zweiten Korb beispielsweise der Scope, der Geltungsbereich, bereits erweitert.
Über die nationale Gesetzgebung hinaus fallen KRITIS inzwischen auch in den Geltungsbereich des Cybersecurity Act. In diesem Rahmen werden sie künftig weitere Anforderungen erfüllen müssen. Auf die anstehende Rezertifizierungsrunde hat diese EU-Verordnung allerdings noch keine Auswirkungen.
Im Sinne einer einfacheren Nachweispflicht können Unternehmen aus einem Sektor einen branchenspezifischen Sicherheitsstandard (B3S) erarbeiten und diesen vom BSI als Stand der Technik anerkennen lassen. Dann können die anderen KRITIS-Betreiber der Branche den Standard umsetzen und sich dies von einem unabhängigen Prüfer bestätigen lassen. Es liegen bereits verschiedene anerkannte Branchenstandards vor, von denen immer die aktuellste Version verwendet werden sollte. Wird ein B3S aktualisiert, während das Nachweisverfahren in einem Unternehmen läuft, muss es im Nachweisdokument begründen, warum dennoch der aktuelle Stand der Technik erfüllt ist. In der Regel gelten B3S für zwei Jahre, dann ist eine Anpassung an die neuen Gegebenheiten gefordert. Ein Standard kann dann zwar trotzdem weiter genutzt werden, aber er gilt eben nicht mehr offiziell vom BSI als geeignet. Der Anwender trägt in diesem Fall jedoch eine deutlich höhere Sorgfaltspflicht.
Für Betreiber kritischer Infrastrukturen des ersten Korbs ist es jetzt wichtig, in die konkrete Planung zu gehen. Dazu gehört auch der Kontakt zum Zertifizierer, um einen ganz konkreten Zeitrahmen festzulegen und das Audit vorzubereiten. Der Stichtag 3. Mai 2020 scheint noch in weiter Ferne. Wer aber jetzt schon – vor dem Jahresendgeschäft – auf seinen Zertifizierer zugeht, stellt sicher, dass er in einem möglichen Terminstau nicht hinten steht.
TÜV SÜD Ansprechpartner: Marcello Walz, Global Business Line Manager IT, TÜV SÜD Management Service GmbH
Übersicht über die existierenden branchenspezifischen Standards (B3S) vom BSI
Ausgewiesene Informationssicherheit nach ISO/IEC 27001
Erfahren Sie mehr
Mit unserer Unterstützung können Sie auch während Ihrer bestehenden Zertifikats-Laufzeit zu TÜV SÜD wechseln
Erfahren Sie mehr