KRITIS

KRITIS Betreiber unter Zugzwang, ein ISMS (Informationssicherheitsmanagmentsystem) zu implementieren

Betreiber kritischer Infrastrukturen sind gemäß dem am 25. Juli 2015 in Kraft getreten IT-Sicherheitsgesetz verpflichtet, ein ISMS einzuführen und den Nachweis nach §8a BSIG zu erbringen.  

Wer jedoch fällt unter dieses Gesetz? Noch gibt es keine 100%ig definierten Festsetzungen. Derzeit liegt der Richtwert (Schwellenwert) bei > 500.000 vom Unternehmen versorgten Personen. Jedoch variiert auch dieser Wert je nach Branche.

Betreiber, die unter diesem Schwellenwert liegen, sind zwar davon befreit, ein zu überprüfendes ISMS einzurichten, eine reduzierte Form eines Managementsystems muss jedoch  auch von diesen Unternehmen im Rahmen der EU-Datenschutzverordnung (EU DSGVO) nachgewiesen werden.

Ergänzend zu den Anforderungen der KRITIS Verordnung werden nach und nach Branchenstandards (B3S) veröffentlicht. Diese werden vom BSI freigegeben und enthalten zusätzliche Anforderungen an die jeweilige Branche.

Die folgende Tabelle veranschaulicht den aktuellen Stand der B3S-Forderungen:

Branche Zusatzanforderung
Energie

Netzbetreiber: IT-Sicherheitskatalog, ISO 27001.

Erzeuger: Entwurf veröffentlicht

B3S Verteilung von Fernwärme in Prüfung

Wasser B3S von BSI anerkannt
Telekommunikation B3S Housing, Hosting und CDN in Prüfung
Logistik B3S noch ausstehend
Ernährung

B3S Herstellung noch ausstehend,

B3S Handel veröffentlicht,

B3S Lebensmittelindustrie in Prüfung

Gesundheit B3S noch ausstehend, Handlungsempfehlung veröffentlicht
Finanzen B3S Sicherer IT-Betrieb Variante Banken und Versicherungen in Prüfung

 

Bisher sind nur Strom & Gas Netzbetreiber verpflichtet, eine Zertifizierung nach ISO 27001 nachzuweisen. Die noch zur veröffentlichenden Branchenstandards (B3S) erhöhen die Anforderungen an das ISMS weit über die Vorgaben der KRITIS Verordnung hinaus.

Eine ISO 27001-Zertifizierung ist ein zielführendes Instrument, um zum einen die Anforderungen der KRITIS Verordnung nachzuweisen. Darüber hinaus hilft sie, die Branchenstandards zu erfüllen: Mit nur geringem Aufwand kann ein ISMS nach ISO 27001 mit dem B3S zusammengeführt werden.