KRITIS

KRITIS Betreiber unter Zugzwang, ein ISMS (Informationssicherheitsmanagmentsystem) zu implementieren

Betreiber kritischer Infrastrukturen sind gemäß dem am 25. Juli 2015 in Kraft getreten IT-Sicherheitsgesetz verpflichtet, ein ISMS einzuführen und den Nachweis nach §8a BSIG zu erbringen.  

Wer jedoch fällt unter dieses Gesetz? Noch gibt es keine 100%ig definierten Festsetzungen. Derzeit liegt der Richtwert (Schwellenwert) bei > 500.000 vom Unternehmen versorgten Personen. Jedoch variiert auch dieser Wert je nach Branche.

Betreiber, die unter diesem Schwellenwert liegen, sind zwar davon befreit, ein zu überprüfendes ISMS einzurichten, eine reduzierte Form eines Managementsystems muss jedoch  auch von diesen Unternehmen im Rahmen der EU-Datenschutzverordnung (EU DSGVO) nachgewiesen werden.

Ergänzend zu den Anforderungen der KRITIS Verordnung werden nach und nach Branchenstandards (B3S) veröffentlicht. Diese werden vom BSI freigegeben und enthalten zusätzliche Anforderungen an die jeweilige Branche.

Die folgende Tabelle veranschaulicht den aktuellen Stand der B3S-Forderungen:

Branche Zusatzanforderung
Energie Netzbetreiber: IT-Sicherheitskatalog, ISO 27001. Erzeuger: Entwurf veröffentlicht
Wasser B3S von BSI anerkannt, Nachweisverfahren noch ausstehend
Telekommunikation B3S noch ausstehend
Logistik B3S noch ausstehend
Ernährung B3S noch ausstehend
Gesundheit B3S noch ausstehend, Handlungsempfehlung veröffentlicht
Finanzen B3S noch ausstehend

 

Bisher sind nur Strom & Gas Netzbetreiber verpflichtet, eine Zertifizierung nach ISO 27001 nachzuweisen. Die noch zur veröffentlichenden Branchenstandards (B3S) erhöhen die Anforderungen an das ISMS weit über die Vorgaben der KRITIS Verordnung hinaus.

Eine ISO 27001-Zertifizierung ist ein zielführendes Instrument, um zum einen die Anforderungen der KRITIS Verordnung nachzuweisen. Darüber hinaus hilft sie, die Branchenstandards zu erfüllen: Mit nur geringem Aufwand kann ein ISMS nach ISO 27001 mit dem B3S zusammengeführt werden.