KRITIS - Compliance für Unternehmen mit Kritischen Infrastrukturen
Betreiber Kritischer Infrastrukturen sichern ihre Compliance und Existenz ab, indem sie systematisch alle Informationssicherheitsrisiken und die entsprechenden Gegenmaßnahmen in einem ISMS erfassen und nachweisen, dass ihre Systematik funktioniert.
Seit Inkrafttreten des IT-Sicherheitsgesetzes sind KRITIS-Betreiber verpflichtet, ein ISMS einzuführen und den Nachweis nach §8a BSIG zu erbringen, dass der „Stand der Technik“ umgesetzt wurde.
Ein ISMS umfasst die Bündelung aller Verfahren, Regeln und Technischen Maßnahmen innerhalb eines Unternehmens, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Das ISMS muss sich auf alle Anlagen erstrecken, die für das Erbringen einer kritischen Dienstleistung nötig sind (z.B. für das Versorgen der Bevölkerung mit Wasser oder Energie).
Nachweis zum ISMS
Der Nachweis über die erfolgreiche Implementierung und Aufrechterhaltung des ISMS ist in Form vom BSI vorgegebener Nachweisdokumente zu erbringen. Laut den neuesten Anforderungen sind dies:
- Blatt KI - wird vom Betreiber der Kritischen Infrastruktur beim BSI eingereicht
- Blatt P - wird von der Prüfinstitution ausgefüllt, aber vom Betreiber beim BSI vorgelegt
Der Nachweis muss alle zwei Jahre erbracht und dem BSI übermittelt werden. Die Stakeholder des BSI unterteilen sich dabei in Korb I und Korb II.
Stichtag für Nachweisdokumente Korb I: Mai 2022
Stichtag für Nachweisdokumente Korb II: 30. Juni 2021
| Sektoren | Branchen |
| Energie |
|
| Gesundheit |
|
| Wasser |
|
| Ernährung |
|
| Transport und Verkehr |
|
| Finanzen und Versicherungswesen |
|
|
Informationstechnik und |
|
Betroffene Branchen müssen, um unter KRITIS zu fallen, zudem einen definierten Schwellenwert überschreiten. Dieser Schwellenwert ist in der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) festgelegt. Die Schwellenwerte ergeben sich aus der Berechnung auf die durchschnittliche von einer Person genutzte Leistung, hochgerechnet auf einen Wert für 500.000 Personen.
Es ist davon auszugehen, dass die Schwellenwerte in den kommenden Jahren sinken, sodass immer mehr Organisationen in die Pflicht genommen werden, ihre IT gegen ungewollte Eingriffe zu schützen.
Stand der Technik & Branchenspezifische Sicherheitsstandards (B3S)
Was genau der „Stand der Technik“ ist, ist nirgends pauschal definiert. Es ist jedoch vom BSI gewünscht, dass Branchen (oder auch einzelnen Unternehmen bzw. Unternehmensgruppen) einen Branchenspezifische Sicherheitsstandard definieren der den Stand der Technik festlegt. Dieser wird beim BSI eingereicht, geprüft und freigegeben. Ist ein solcher Standard vorhanden ist dieser als Stand der Technik anzusehen. Ein B3S ist auf zwei Jahre Gültigkeit begrenzt und muss dann, revisioniert, erneut eingereicht und geprüft werden.
Was kann die GUTcert für Sie tun?
Als akkreditierte Zertifizierungsstelle nach ISO 27001 (ISMS) prüft die GUTcert Ihre einzureichenden Nachweise. Unsere speziell dafür qualifizierten Auditoren nehmen dazu Ihr System zur Erfüllung der Anforderungen für KRITIS genau unter die Lupe.
Nach einer Dokumentenprüfung und einem Vor-Ort-Termin erstellt der Auditor einen Auditbericht und die nötigen Nachweisdokumente für das BSI. Diese Nachweisdokumente reichen Sie beim BSI ein und weisen damit nach, dass Sie den §8a (3) BSIG erfüllen.
Wenn gewünscht, können wir im Rahmen der Beauftragung zur Prüfung nach §8a (3) BSIG auch eine Vorprüfung vor Ort durchführen, um mögliche Schwachstellen bereits vor dem eigentlichen Audit aufzudecken.