KRITIS-Verordnung und IT-Sicherheits­gesetz

Schutz­anforderungen für Betreiber Kritischer Infrastrukturen

Seit dem 25. Juli 2015 gilt das IT-Sicherheitsgesetz (IT-SiG) zur Erhöhung des Sicherheitsniveaus informationstechnischer Systeme. Am 3. Mai 2016 trat der erste Teil der BSI KRITIS-Verordnung in Kraft, der die Organisationen festlegt, die dem IT-Sicherheitsgesetz unterliegen. Mit der Änderungsverordnung vom 30. Juni 2017 wurden weitere Sektoren und Branchen definiert, des Weiteren ist hierin die Umsetzung des IT-Sicherheitsgesetzes für KRITIS-Betreiber näher spezifiziert.

Demnach sind KRITIS-Organisationen als Einrichtungen und Betreiber von Kritischen Infrastrukturen und Diensten u.a. zur Umsetzung von Mindeststandards für IT-Sicherheit verpflichtet, um sich vor Cyber-Attacken und anderen externen Angriffen zu schützen. Zu den Mindeststandards zählen z.B. erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz von Kundendaten sowie erhöhte Sicherheitsanforderungen zum Schutz der genutzten IT-Systeme.

Darüber hinaus besteht für Organisationen aus KRITIS-Sektoren eine Meldepflicht im Falle erheblicher Störungen ihrer IT-Sicherheit, insbesondere wenn negative Auswirkungen für das staatliche Gemeinwesen drohen, etwa durch Beeinträchtigung der öffentliche Sicherheit oder gravierende Engpässe in Gesundheit, Versorgung oder anderen KRITIS-Sektoren.

Kritische Infrastruktur-Sektoren nach BSI KRITIS-Verordnung

Organisationen und Einrichtungen aus folgenden Branchen zählen zu den Sektoren der Kritischen Infrastrukturen:

  • KRITIS Energie (Stromnetzbetreiber, Kernkraftwerke, Mineralölbetriebe, Gasnetzbetreiber)
  • KRITIS Gesundheit (Med. Versorgung, Arzneimittel und Impfstoffe, Labore)
  • KRITIS Wasser (Trinkwasserversorgung, Abwasserentsorgung)
  • KRITIS Ernährung (Ernährungswirtschaft, Lebensmittelhandel)
  • KRITIS Informationstechnik und Telekommunikation (Informationstechnische Systeme, Netzbetreiber sowie Dienstleister für IT und Telekommunikation)
  • KRITIS Finanz- und Versicherungswesen (Banken, Börsen, Versicherungen, Finanzdienstleister)
  • KRITIS Transport und Verkehr (Luftverkehr, Schienenverkehr, Binnen- und Seeschifffahrt, Straßenverkehr, Logistik)
  • KRITIS Medien und Kultur (Rundfunk, TV, Presse, Kulturgut, symbolträchtige Bauwerke)
  • KRITIS Staat und Verwaltung (Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/Rettungswesen einschließlich Katastrophenschutz)

Gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) besteht regelmäßige Nachweispflicht über die Erfüllung sämtlicher Sicherheitsanforderungen (alle zwei Jahre). Ausgenommen sind lediglich Organisationen des öffentlichen Sektors „Staat und Verwaltung“; hier obliegt die Überprüfung der Umsetzung und Einhaltung der Anforderungen dem Bund.

Erweiterte Pflichten für KRITIS-Betreiber durch NIS-Richtlinie

Ab 9. Mai 2018 ist die NIS-Richtlinie – „Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ – auch in Deutschland rechtskräftig. Hierin werden nicht nur zusätzliche Einrichtungen und Akteure aus dem Sektor „Digitale Dienste“ in die Pflicht genommen. Die NIS-Richtlinie definiert auch zusätzliche Anforderungen hinsichtlich der Meldepflichten bei IT-Störungen sowie erweiterte Nachweispflichten für KRITIS-Betreiber. Im Rahmen neuer Befugnisse werden z.B. Kontrollbesuche durch das BSI auch dann möglich sein, wenn bis dato keine Mängel nachgewiesen worden sind. KRITIS-Betreiber müssen also in der Lage sein, entsprechende Audits, Prüfungen oder Zertifizierungen jederzeit nachweisen zu können. Mit fuentis sind Organisationen und Dienstleister aus KRITIS-Sektoren auf der sicheren Seite:

Informationssicherheits-Managementsysteme wie das fuentis ISMS Modul stellen eine verlässliche Grundlage, um organisationsspezifische Assets darzustellen und sektorspezifische Prüfprozesse zu implementieren und die geforderten Mindest-Sicherheitsstandards zu überwachen – und somit jederzeit auskunftsfähig zu sein.

Vorteile der fuentis Suite für KRITIS-Betreiber

Das ISMS Modul der fuentis Suite entspricht sowohl den Anforderungen des BSI IT-Grundschutzes und dessen Umsetzung als auch der ISO 27001. Der ganzheitliche Ansatz des Integrierten Managementsystems ermöglicht speziell für KRITIS-Organisationen eine Fülle von Management-, Prüf- und Sicherheitsfunktionen, die kein anderes ISMS außer fuentis zu bieten hat:

  • Sektorspezifische Abbildung der Assets in der CMDB
  • Sektorspezifische Dokumentenlenkung
  • Erstellung eines Netzstrukturplanes
  • Integration des Notfallmanagements (BCM)
  • Umsetzung eines Technischen Sicherheitsmanagements (TSM)
  • Aufnahme und Verfolgung von Sicherheitsvorfällen
  • Unterstützung von branchenspezifischen IT-Sicherheitsstandards (wie z.B. Wasser/Abwasser (B3S)

 

Hintergrund der KRITIS-Verordnung

Ob Strom oder Trinkwasser, Verkehr oder Ernährung – Beeinträchtigungen, nachhaltige Störungen oder gar Ausfälle von Versorgungsleistungen und Dienstleistungen im Bereich der Kritischen Infrastrukturen (KRITIS) könnten dramatische Folgen für Deutschlands Wirtschaft und Gesellschaft haben. Die Sicherheit und Verfügbarkeit der informationstechnischen Systeme in KRITIS-Organisationen ist daher für das staatliche Gemeinwesen von zentraler Bedeutung.

KRITIS-Betreiber müssen

  • IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ einsetzen und erhalten (§ 8a Abs. 1 BSI-Gesetz) und
  • dem BSI erhebliche IT-Störungen melden (§ 8b Abs. 4 BSI-Gesetz).

 

Impressum

fuentis AG
David-Gilly-Str. 1
14469 Potsdam

Inhaltlich Verantwortlicher gem. § 55 II RStV:
Dr. Simon Woldeab
Tel.: + 49 (331) 885 9211 -0
Fax: + 49 (331) 885 9211 -2

Sitz der Gesellschaft:
David-Gilly-Str. 1 · 14469 Potsdam
Registergericht: Amtsgericht Potsdam: HRB 30493 P
Ust-IdNr: DE313123288

Vorstand: Prof. Dr. Vladimir Stantchev
Aufsichtsratsvorsitzender: Dr. Serkan Tavasli

Datenschutzerklärung

Webdesign und Programmierung:
brando Werbeagentur Potsdam