Sicherheit und Stabilität kritischer Infrastrukturen
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen, die für das Funktionieren des staatlichen Gemeinwesens besonders wichtig sind. Wenn sie ausfallen oder gestört werden, könnten langfristige Versorgungsengpässe, erhebliche Beeinträchtigungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen auftreten.
Eine KRITIS Prüfung nach § 8a (3) BSIG bietet somit nicht nur den Betreibern kritischer Infrastruktur den Vorteil Schwachstellen frühzeitig zu erkennen, um ihre Sicherheitsmaßnahmen zu verbessern, sondern trägt auch zur Versorgungssicherheit des Gemeinwesens bei.
Die folgenden Sektoren gehören zu den kritischen Infrastrukturen.
KRITIS-Sektoren
Die Sektoren Staat und Verwaltung und Medien und Kultur werden nicht vom BSI reguliert, für alle anderen Sektoren gelten bestimmte Schwellenwerte.
Vorteile einer KRITIS-Prüfung
Sicherheit
Sie erkennen Schwachstellen und können diese schnell beheben, was die Sicherheit Ihrer Einrichtung erhöht.
Resilienz
Sie sind in der Lage, Schäden zu minimieren, flexibel auf Veränderungen zu reagieren und Ihre Funktionsfähigkeit aufrechtzuerhalten.
Vertrauen
Hohe Standards bei Sicherheit, Zuverlässigkeit und Schutz signalisieren Kunden, Partnern und Behörden, dass Ihre Einrichtung verantwortungsvoll handelt.
Compliance
Sie erfüllen die gesetzlichen Anforderungen und erhalten den Nachweis über die Umsetzung des aktuellen Standes der Technik bezogen auf die Umsetzung der Informationssicherheit in Ihrer Einrichtung.
Einrichtungen, Anlagen oder Teile davon, die durch das Erreichen oder Überschreiten von Schwellenwerten einen bestimmten Versorgungsgrad erreicht haben sind KRITIS pflichtig. Die Schwellenwerte und ihre jeweilige Berechnungsformel sind in den Anhängen der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) zu finden.
Vor der Prüfung muss das Fälligkeitsdatum für die Einreichung der Nachweisdokumente beim BSI ermittelt werden. Das Fälligkeitsdatum wird vom BSI bei der Registrierung der KRITIS-pflichtigen Anlage ausgegeben.
Zudem muss der Geltungsbereich und die anzuwendende Prüfgrundlage festgelegt werden. Der Aufwand der KRITIS-Prüfung basiert unter anderem auf der Größe und Komplexität des Geltungsbereichs und auf dem Stand der Informationssicherheit der Einrichtung.
Die Prüfgrundlage legt fest, welche inhaltlichen Anforderungen die Betreiber erfüllen müssen und wie diese Anforderungen methodisch im Rahmen der Prüfung überprüft werden. Sie muss so gewählt werden, dass sie den Stand der Technik der Anlagen und die branchenspezifischen Aspekte abdeckt.
Als mögliche Grundlagen können die Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG oder der Katalog zur Konkretisierung der KRITIS-Anforderungen vom BSI angewendet werden. Um die branchenspezifischen Themen abzudecken kann z. B. der entsprechende branchenspezifische Sicherheitsstandard (B3S) herangezogen werden.
Die Prüfung wird von einem Team durchgeführt, da die zentralen Aspekte nach dem 4-Augen-Prinzip geprüft werden müssen. Um die Branchenkompetenz im Team abzudecken, kann der Einsatz eines bzw. einer Branchenexperten/Branchenexpertin zusätzlich nötig sein.
Zunächst findet eine Dokumentenprüfung statt, bei der sich da Prüfteam mit Hilfe der vorab bereitgestellten Dokumente auf die Vor-Ort-Prüfung vorbereitet und einen passenden Ablaufplan erstellt.
Anschließend findet die Vor-Ort-Prüfung nach der selbstgewählten Prüfgrundlage statt. In der Prüfung werden die Reife- und Umsetzungsgrade für sieben Themenbereiche ermittelt, welche den Fortschritt über die Jahre nachvollziehbar darstellen.
Anschließend wird der Prüfbericht erstellt, sowie die Mängelliste und die Nachweisdokumente, die beim BSI eingereicht werden müssen.
Die GUTcert war bei der Zertifizierung unseres ISMS nach ISO 27001 ein jederzeit kompetenter, fairer und zuverlässiger Partner und begleitete uns mit wertvollen Tipps und Empfehlungen auf dem Weg vom Voraudit über Stufe 1 bis zum erfolgreichen Zertifizierungsaudit.
Mario Konietzny, Stadtwerke Lutherstadt Eisleben GmbH
The audit process with GUTcerts was very smooth, and the professionality of the auditor was outstanding. Our Auditor was very helpful with his insights and comments on our ISMS and I would like to forward to you our management’s appreciation for his excellent work.
Peter Mansour, IDEALworks GmbH
Die GUTcert hat uns zügig und fokussiert durch den Zertifizierungsprozess begleitet. Auf Anfragen wurde immer schnell und professionell reagiert. So konnte auch unsere Erstzertifizierung routiniert ablaufen.
Kostenfreies Webinar: IT-Sicherheit im Unternehmen - Effektive Bewertung mit dem Cybersicherheits-Check
Ein niederschwelliger Ansatz zur Überprüfung des Stands der Cyber-Sicherheit im Unternehmen: Jetzt registrieren für das kostenfreie Webinar am 10. Dezember.
Trends und Entwicklungen in der Informationssicherheit – GUTcert im Interview mit Joachim Reinke (einfachISO GmbH)
Im Gespräch mit Joachim Reinke (Berater und Lead Auditor u.a. für ISO 27001 und TISAX®) diskutieren wir aktuelle Trends und Entwicklungen rund um die Themen Informationssicherheit und ISO 27001.
Die Rolle von IT-Sicherheitsprüfungen im Schwachstellenmanagement
Proaktiver Umgang mit IT-Schwachstellen ist ein essenzieller Bestandteil jedes Informationssicherheits-Managementsystems (ISMS) und Softwareentwicklungsprozesses. Die zentrale Rolle von regelmäßigen Sicherheitsprüfungen wird dabei häufig übersehen.
