Sicherheit und Stabilität kritischer Infrastrukturen
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen, die für das Funktionieren des staatlichen Gemeinwesens besonders wichtig sind. Wenn sie ausfallen oder gestört werden, könnten langfristige Versorgungsengpässe, erhebliche Beeinträchtigungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen auftreten.
Eine KRITIS Prüfung nach § 8a (3) BSIG bietet somit nicht nur den Betreibern kritischer Infrastruktur den Vorteil Schwachstellen frühzeitig zu erkennen, um ihre Sicherheitsmaßnahmen zu verbessern, sondern trägt auch zur Versorgungssicherheit des Gemeinwesens bei.
Die folgenden Sektoren gehören zu den kritischen Infrastrukturen.
KRITIS-Sektoren
Die Sektoren Staat und Verwaltung und Medien und Kultur werden nicht vom BSI reguliert, für alle anderen Sektoren gelten bestimmte Schwellenwerte.
Vorteile einer KRITIS-Prüfung
Sicherheit
Sie erkennen Schwachstellen und können diese schnell beheben, was die Sicherheit Ihrer Einrichtung erhöht.
Resilienz
Sie sind in der Lage, Schäden zu minimieren, flexibel auf Veränderungen zu reagieren und Ihre Funktionsfähigkeit aufrechtzuerhalten.
Vertrauen
Hohe Standards bei Sicherheit, Zuverlässigkeit und Schutz signalisieren Kunden, Partnern und Behörden, dass Ihre Einrichtung verantwortungsvoll handelt.
Compliance
Sie erfüllen die gesetzlichen Anforderungen und erhalten den Nachweis über die Umsetzung des aktuellen Standes der Technik bezogen auf die Umsetzung der Informationssicherheit in Ihrer Einrichtung.
Einrichtungen, Anlagen oder Teile davon, die durch das Erreichen oder Überschreiten von Schwellenwerten einen bestimmten Versorgungsgrad erreicht haben sind KRITIS pflichtig. Die Schwellenwerte und ihre jeweilige Berechnungsformel sind in den Anhängen der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) zu finden.
Vor der Prüfung muss das Fälligkeitsdatum für die Einreichung der Nachweisdokumente beim BSI ermittelt werden. Das Fälligkeitsdatum wird vom BSI bei der Registrierung der KRITIS-pflichtigen Anlage ausgegeben.
Zudem muss der Geltungsbereich und die anzuwendende Prüfgrundlage festgelegt werden. Der Aufwand der KRITIS-Prüfung basiert unter anderem auf der Größe und Komplexität des Geltungsbereichs und auf dem Stand der Informationssicherheit der Einrichtung.
Die Prüfgrundlage legt fest, welche inhaltlichen Anforderungen die Betreiber erfüllen müssen und wie diese Anforderungen methodisch im Rahmen der Prüfung überprüft werden. Sie muss so gewählt werden, dass sie den Stand der Technik der Anlagen und die branchenspezifischen Aspekte abdeckt.
Als mögliche Grundlagen können die Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG oder der Katalog zur Konkretisierung der KRITIS-Anforderungen vom BSI angewendet werden. Um die branchenspezifischen Themen abzudecken kann z. B. der entsprechende branchenspezifische Sicherheitsstandard (B3S) herangezogen werden.
Die Prüfung wird von einem Team durchgeführt, da die zentralen Aspekte nach dem 4-Augen-Prinzip geprüft werden müssen. Um die Branchenkompetenz im Team abzudecken, kann der Einsatz eines bzw. einer Branchenexperten/Branchenexpertin zusätzlich nötig sein.
Zunächst findet eine Dokumentenprüfung statt, bei der sich da Prüfteam mit Hilfe der vorab bereitgestellten Dokumente auf die Vor-Ort-Prüfung vorbereitet und einen passenden Ablaufplan erstellt.
Anschließend findet die Vor-Ort-Prüfung nach der selbstgewählten Prüfgrundlage statt. In der Prüfung werden die Reife- und Umsetzungsgrade für sieben Themenbereiche ermittelt, welche den Fortschritt über die Jahre nachvollziehbar darstellen.
Anschließend wird der Prüfbericht erstellt, sowie die Mängelliste und die Nachweisdokumente, die beim BSI eingereicht werden müssen.
Die GUTcert war bei der Zertifizierung unseres ISMS nach ISO 27001 ein jederzeit kompetenter, fairer und zuverlässiger Partner und begleitete uns mit wertvollen Tipps und Empfehlungen auf dem Weg vom Voraudit über Stufe 1 bis zum erfolgreichen Zertifizierungsaudit.
Mario Konietzny, Stadtwerke Lutherstadt Eisleben GmbH
The audit process with GUTcerts was very smooth, and the professionality of the auditor was outstanding. Our Auditor was very helpful with his insights and comments on our ISMS and I would like to forward to you our management’s appreciation for his excellent work.
Peter Mansour, IDEALworks GmbH
Die GUTcert hat uns zügig und fokussiert durch den Zertifizierungsprozess begleitet. Auf Anfragen wurde immer schnell und professionell reagiert. So konnte auch unsere Erstzertifizierung routiniert ablaufen.
TISAX® – Der Standard für Vertrauen und Sicherheit in der Automobilbranche
Mit einer Prüfung nach TISAX® unterstützen wir die Automobilbranche beim sicheren Umgang mit sensiblen Daten und schaffen Vertrauen entlang der gesamten Lieferkette.
Transition zur ISO/IEC 27019:2024 – Rechtzeitig umstellen!
Mit einer Frist von zwei Jahren nach Veröffentlichung der neuen ISO/IEC 27019:2024 müssen Audits nach dem IT-Sicherheitskatalog auf Grundlage der neuen Fassung erfolgen.
Der neue Referentenentwurf des NIS-2-Umsetzungsgesetzes orientiert sich in weiten Teilen am Regierungsentwurf der vorherigen Legislaturperiode – die Umsetzung erfolgt voraussichtlich Anfang 2026.
