KRITIS – Kritische Infrastruktur

Die Sicherstellung und Einhaltung von Gesetzen und ethischen Vorgaben in einem Unternehmen, werden sowohl vom Gesetzgeber als auch von den Unternehmern selbst, deren Geschäftspartnern und Investoren sowie von der Öffentlichkeit gefordert.

KRITIS

  

Besonders Unternehmen, die der kritischen Infrastruktur angehören, haben eine große Bedeutung für das staatliche Gemeinwesen. Bei Ausfall oder Beeinträchtigung kann es zu langfristigen Versorgungsengpässen, zu erheblichen Störungen der öffentlichen Sicherheit oder weiteren schwerwiegenden Folgen kommen.
Daher benötigen sie einen besonders hohen IT- und Informationsschutz ihrer sensiblen Daten und Informationen und müssen entsprechende Vorsorge leisten.

Weiterführende Informationen finden Sie hier: Bundesamt für Sicherheit in der Informationstechnik

KRITIS-Unternehmen sind zur ISO-Zertifizierung verpflichtet

  • Unternehmen, die der kritischen Infrastruktur (KRITIS) zugeordnet werden und bestimmte Schwellenwerte überschreiten, sind zur ISO-Zertifizierung 27001 verpflichtet.

    Seit 2015 ist durch das IT-Sicherheitsgesetzt und des darin enthaltenen IT-Sicherheitskataloges klar definiert, welche Sicherheitsvorkehrungen, vor allem von Betreibern der Kritischen Infrastruktur, verpflichtend eingehalten werden müssen.
  • Auftragnehmer, Zulieferer und weitere Beteiligte in Wertschöpfungsketten, die mit zertifizierten Unternehmen zusammenarbeiten, stabilisieren und verbessern durch ihre eigene Zertifizierung ihre Marktsituation.

    Denn zertifizierte KRITIS-Unternehmen fordern als Auftraggeber von ihren Auftragnehmern ebenfalls die Zertifizierung. Industriezweige und Branchen definieren eigene Zertifizierungs-Standards für Informationssicherheit, z. B. in der Autoindustrie unter TISAX / VDA SA . Bestehende Geschäftsbeziehung können durch eine Zertifizierung gefestigt bzw. überhaupt erst fortgesetzt werden. Neue Geschäftsbeziehungen können entstehen.
  • IT-Sicherheitsvorfälle sind meldepflichtig. KRITIS-Betreiber sind deshalb verpflichtet, relevante Störungen bezüglich ihrer Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen führen können oder bereits geführt haben, unverzüglich an das Bundesamt zu melden.
  • Das IT-Sicherheitsgesetzt fordert von KRITIS-Unternehmen die Umsetzung eines Risiko- und Krisenmanagements sowie die Einführung und Aufrechterhaltung eines ISMS (Information Security Management System). Dies muss ständig geprüft, angepasst und verbessert werden.

    Für diese komplexen Maßnahmen empfiehlt es sich, bereits zu Beginn der Planung, die Hilfe spezialisierter Berater wie die der ARCA-Consult, in Anspruch zu nehmen. Detaillierte Informationen dazu finden Sie hier. 

Normen

  • BSI-Gesetz

    Das BSI-Gesetz regelt die Aufgaben und Befugnisse des BSI (Bundesamt für Sicherheit in der Informationstechnik) als Aufsichts- und Meldebehörde für die Einhaltung von IT-Sicherheit bei Betreibern kritischer Infrastrukturen.   
  • IT-Sicherheitsgesetz

    Ziel des IT-Sicherheitsgesetzes ist die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet. Hierzu beschreibt es Maßnahmen und Methoden. 
  • BSI-Kritisverordnung

    Die BSI-Kritisverordnung regelt, welche Unternehmen aus den KRITIS-Sektoren unter das IT-Sicherheitsgesetz fallen und legt hierfür die Anlagekategorien und Schwellenwerte fest.
  • ISO/IEC 27000-Reihe

    • Die ISO/IEC 27000-Reihe (auch ISO/IEC 27000-Familie oder im Englischen kurz auch ISO27k genannt) beschreibt Standards für Sicherheitsverfahren in der Informationstechnik, wie diese im Rahmen eines Managementsystems eingeführt werden können, welche Anforderungen auf dem Weg zu einer Zertifizierung zu erfüllen sind und welche Maßnahmen zur Zielerreichung erforderlich und sinnvoll sind. 
    • ISO 27001 und 27002: Allgemeine Regelungen und Maßnahmen 
    • ISO 27011: Besondere Regelungen für die Telekommunikationsbranche 
    • ISO 27019: Besondere Regelungen für die Energiewirtschaft 
    • ISO 27033: Besondere Regelungen zum Thema Netzsicherheit 
    • ISO 27701: Besondere Regelungen zum Thema Datenschutz 
  • § 25a KWG

    Hier findet sich der allgemeine Grundsatz für die Informationssicherheit. Regelung der Finanzdienstbranche, soweit sie von der BAFin überwacht werden.  
  • TISAX / VDA SA

    Trusted Information Security Assessment Exchange - ist ein Standard für Informationssicherheit, der von der Automobilindustrie für diese festgelegt wurde und die Standards in Wertschöpfungsketten vereinheitlicht. Weitere Informationen dazu finden Sie  hier.

Institutionen, Aufsichts- und Meldebehörden

  • BSI

    Das Bundesamt für Sicherheit in der Informationstechnik ist eine Aufsichts- und Meldebehörde für Vorfälle bei der Sicherheit in der Informationstechnik.
  • BAFin

    Die Bundesanstalt für Finanzdienstleistungsaufsicht überwacht die Geschäftstätigkeit von Finanzdienstleistern (Kreditinstitute und Versicherungen) sowie deren gesetzeskonformen Umgang mit Risikopositionen und die Eigenkapitalausstattung.
  • Bundesnetzagentur

    Die Bundesnetzagentur ist für den sicheren und wettbewerbsrechtlich konformen Betrieb von Versorgungs- und Kommunikationsnetzen zuständig .
  • Datenschutzbehörden

    des Bundes und der Länder überwachen den konformen datenschutzrechtlichen Umgang mit personenbezogenen Daten und sanktionieren Rechtsverstöße. Mehr Informationen zum Thema Datenschutz und den damit verbundenen Rechten und Pflichten finden Sie hier.
  • ENISA

    European Union Agency for Cybersecurity koordiniert und überwacht die Anwendung von Maßnahmen zur Abwehr von Cyberangriffen.
  • ISO und IEC

    International Organization for Standardization und International Electrotechnical Commission setzen die Normen für Anforderungen an Informationssicherheits-Managementsysteme (ISMS).