[^]

Schutz Kritischer Infrastrukturen - KRITIS

KRITIS: Wie Unternehmen die Vorgaben des IT-Sicherheitsgesetzes erfüllen

Im Sommer 2015 wurde das IT-Sicherheitsgesetz verabschiedet. Es dient dazu, mehr Sicherheit für informationstechnische Systeme zu erreichen, speziell für Unternehmen der so genannten „Kritischen Infrastrukturen“ (KRITIS). Zudem ist das IT-Sicherheitsgesetz elementarer Bestandteil der Cyber-Sicherheitsstrategie der Bundesregierung. Der Anspruch lautet: IT-Systeme und digitale Infrastrukturen in Deutschlands sollen zu den sichersten weltweit gehören.

Ein zentraler Auftrag an alle betroffenen Unternehmen ist die Einführung eines Information Security Management Systems (ISMS) nach ISO 27001. Das ISMS umfasst dabei nicht nur die „klassische“ IT des Unternehmens, sondern fokussiert speziell auf den Teil der Operational-Technology-Netzwerke (OT-Netzwerke). Hierzu zählen beispielsweise die vernetzten Steuer- und Leitsysteme im Energie- und Transportwesen (Umspannwerke, Sortieranlagen etc.) sowie die gesamte vernetzte Medizintechnik in Krankenhäusern. Damit rücken Systeme in den Fokus, die bislang oft weniger der IT, sondern den Ingenieur- und Fachabteilungen zugeordnet waren.

Nach Veröffentlichung der jeweiligen Rechtsverordnungen haben die betroffenen Unternehmen zwei Jahre Zeit, die Vorgaben aus dem IT-Sicherheitsgesetz umzusetzen. Je nach KRITIS-Sektor muss dies durch ein Audit oder ein Zertifikat nachgewiesen werden.

 

KRITIS-Sektoren

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat alle Unternehmen, die aus Sicht des Gesetzgebers unter die „Kritischen Infrastrukturen“ fallen, in die folgenden KRITIS-Sektoren gruppiert:

  • Energie
  • Ernährung
  • Finanzen
  • Gesundheit
  • Informationstechnik und Telekommunikation
  • Medien und Kultur
  • Transport und Verkehr
  • Wasser

 

BSI-KritisV: Konkrete Rechtsverordnungen in 2016 und 2017

Der Gesetzgeber hat dazu durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die abstrakten Vorgaben des Gesetzes zum „Wie“ und „Wer“ konkretisieren lassen. Das BSI veröffentlicht dazu entsprechende Rechtsverordnungen (BSI-KritisV). Sie definieren anhand Sektoren-spezifischer Grenzwerte, welche Unternehmen in ihrem jeweiligen Sektor als „kritisch“ zu betrachten sind und damit die Vorgaben des IT-Sicherheitsgesetzes erfüllen müssen.

Die erste Rechtsverordnung vom Mai 2016 betrifft die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation sowie Ernährung und Wasser. Die zweite Rechtsverordnung betrifft die übrigen KRITIS-Sektoren Finanzen, Transport und Verkehr sowie Gesundheit. Sie wurde am 29. Juni 2017 veröffentlicht.

 

KRITIS: Zusätzliche Fachvorgaben

Für alle KRITIS-Sektoren sind die Vorgaben des IT-Sicherheitsgesetzes bindend. Für einige der Sektoren gelten allerdings darüber hinausgehende bindende Vorgaben. Betroffen ist momentan vor allem der KRITIS-Sektor „Energie“: Hier gibt es zusätzliche Forderungen der Bundesnetzagentur (BNetzA). Spezialvorschriften für andere Sektoren sind allerdings noch zu erwarten.

 

KRITIS: Unsere Unterstützung

Sopra Steria Consulting ist bereits in den folgenden KRITIS-Sektoren in Projekten aktiv. Wir unterstützen Unternehmen bei der Umsetzung der Vorgaben des IT-Sicherheitsgesetzes und der spezifischen Fachvorgaben:

Unsere Kunden profitieren von unseren umfassenden Erfahrungen und Expertise unserer Berater:

  • Erfüllen aller verbindlichen Vorgaben des IT-Sicherheitsgesetzes und der sektorspezifischen Vorgaben
  • Unterstützung durch Fachexperten für die jeweiligen KRITIS-Sektoren, die ein breites Know-how in den spezifischen OT-Systemen und Netzen mitbringen
  • Entlastung der eigenen Mitarbeiter
  • Angemessene, risikoorientierte Maßnahmen mit Augenmaß
  • Kein Personalaufbau notwendig
  • Reduktion bestehender Risiken
  • Vermeiden von Fehlern, Misserfolgen und Demotivation durch erfahrene Projektleitung
  • Wissenstransfer und Coaching und dadurch reduzierter Schulungsbedarf

 

KRITIS: Das bieten wir Ihnen an

  • Leistungsangebot KRITIS Pre-Check (Vorprojekt): Standortbestimmung, Identifizierung des Handlungsbedarfs, Quick Wins, Budgetplanung und Managementbericht gemäß KRITIS-Vorgaben
  • Leistungsangebot KRITIS Pre-Scan (Vorprojekt):Technische und faktenbasierte Bewertung des Stands der IT-Sicherheit gemäß KRITIS in Ihrem Unternehmen
  • ISMS-Implementierung (Hauptprojekt): Bedarfsgerechte Einführung eines oder Weiterentwicklung Ihres ISMS bis zur Erfüllung der Vorgaben des IT-Sicherheitsgesetzes
  • Penetrationstests (Vor- und Folgeprojekt): Auf Ihren KRITIS-Scope angepasste technische Audits und Penetrationstests von Systemen und Netzwerken, um den praktischen und realen Stand der IT-Sicherheit zu bestimmen

Haben Sie noch Fragen?

Klagge[2]
Torben Klagge

Tel.: +49 40 22 703-0
it-security.de@soprasteria.com