WAS BEDEUTET KRITIS FÜR DIE ZUKÜNFTIGE SICHERHEIT VON IT-SYSTEMEN

Zum 25. Juli 2015 ist das IT-Sicherheitsgesetz als Artikelgesetz in Kraft getreten. Als Kernbestandteil sehen die neu eingefügten §§ 8a und 8b des BSI-Gesetzes (BSIG) vor, dass informationstechnische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen abzusichern sind und dass erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind.

Betreiber kritischer Infrastrukturen werden verpflichtet:

  • eine Kontaktstelle zu benennen
  • IT-Störungen zu melden
  • Sicherheit nach Stand der Technik umzusetzen

Die Anforderungen zum Stand der Technik ergeben sich aus branchenspezifischen Sicherheitsstandards (B3S) und bauen auf einem Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 oder BSI IT-Grundschutz auf.

KRITIS Sektoren werden in 2 Körbe aufgeteilt.

Der erste Korb besteht aus: IKT, Energie, Wasser und Ernährung, sie mussten bis Mai 2018 ihre IT absichern und prüfen lassen.

Der zweite Korb besteht aus: Gesundheit, Transport & Verkehr sowie das Finanz- und Versicherungswesen. Dieser Korb muss bis Ende Juni 2019 ihre IT absichern und prüfen lassen.

Die Prüfung erfolgt mittels Prüfnachweis. Der Prüfnachweis kann durch ein Prüfnachweis-Audit oder im Rahmen von einem Zertifizierungsaudit durchgeführt werden. Die Betreiber haben die Pflicht mindestens alle zwei Jahre die Erfüllung der Anforderungen erneut nachzuweisen.

Als zusätzliche Maßnahme kann man sich auch nach ISO27001 zertifizieren lassen. Dies ist allerdings keine verpflichtende Maßnahme.

Tags:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.