Informationssicherheit bei KRITIS-Betreibern

Als Kritische Infrastrukturen (KRITIS) werden Organisationen und Einrichtungen in zentralen Bereichen der Gesellschaft betrachtet, die für die wirtschaftliche Entwicklung des Landes, das Wohlergehen der Gesellschaft und die politische Stabilität notwendig sind. Die Unternehmen, die KRITIS zugerechnet werden, sind Unternehmen aus den Sektoren 

  • Energie (Elektrizität, Gas, Mineralöl),
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr (Luftfahrt, Schifffahrt, Logistik),
  • Gesundheit (Krankenhäuser, Pharmahersteller, Labore),
  • Wasserversorgung und Abwasserentsorgung,
  • Ernährung,
  • Finanz- und Versicherungswesen,
  • Staat und Verwaltung,
  • Medien und Kultur (Rundfunk, Presse und Kulturgüter) sowie
  • Siedlungsabfallentsorgung.

Ausfälle, Störungen oder Versorgungsengpässe dieser Kritischen Infrastrukturen könnten Störungen der öffentlichen Sicherheit oder andere Beeinträchtigungen zur Folge haben.

KRITIS-Betreiber sind auf sichere Informations- und Kommunikationsstrukturen angewiesen. Die Verfügbarkeit der Systeme sowie die Integrität und Vertraulichkeit der verarbeiteten Informationen müssen gewährleistet werden. Dies macht IT- und Informationssicherheit für KRITIS-Betreiber essentiell.

Anforderungen aus dem IT-Sicherheitsgesetz

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) definiert für Organisationen und Einrichtungen aus dem Bereich der Kritischen Infrastrukturen (KRITIS-Betreiber) spezielle Anforderungen an die Informationssicherheit. So werden KRITIS-Betreiber u. a. verpflichtet, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Diese Anforderung zielt auf den Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS) ab.

KRITIS-Betreiber im Sinne des IT-Sicherheitsgesetzes sind gemäß BSI-Gesetz (BSIG) und BSI-Kritisverordnung (BSI-KritisV) verpflichtet dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Kontaktstelle zu benennen, erhebliche IT-Störungen zu melden und dem BSI die Umsetzung der Informationssicherheit nach dem „Stand der Technik“ alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen.

Aktuell: Neuerungen durch NIS 2

Am 16. Januar 2023 ist die NIS 2-Richtlinie in Kraft getreten. Die EU-Mitgliedstaaten müssen die EU-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Die neue Richtlinie klassifiziert „wesentliche“ und „wichtige“ Organisationen und Einrichtungen in insgesamt 18 Sektoren. Ein Teil davon ist bereits jetzt vom aktuellen IT-Sicherheitsgesetz umfasst. Insbesondere in Abhängigkeit von der Größe und dem Sektor soll es dann unterschiedliche Pflichten für die Unternehmen bzw. KRITIS-Betreiber geben.

Im aktuellen Referentenentwurf zum „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG, Stand: 3. Juli 2023) fallen hierunter insbesondere die Risikomanagementmaßnahmen aus § 30:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
  2. Bewältigung von Sicherheitsvorfällen, 
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Mit einem ISMS und einem Business Continuity Management System (BCMS) sind die dann vom Gesetzesentwurf umfassten Organisationen und Einrichtungen optimal vorbereitet, die neuen Anforderungen mit verhältnismäßig geringem zusätzlichem Aufwand zu erfüllen. 

Deshalb sollten Sie die DSN GROUP als Partner auswählen!

Mit der DSN GROUP haben Sie einen kompetenten Partner im Bereich Informationssicherheit.

Unsere Berater*innen verfügen über langjährige Erfahrung in der Beratung im Bereich der ISO/IEC 27000-Normenfamilie, IT-Grundschutz, diverser branchenspezifischer Anforderungen sowie der Bereitstellung von externen Informationssicherheits-Beauftragten (ISB).

Wir beraten kleine, mittlere und große Unternehmen sowie öffentliche Stellen und kirchliche Einrichtungen. Dazu zählen auch KRITIS-Betreiber verschiedener Sektoren, die wir zur Umsetzung der Anforderungen des IT-Sicherheitsgesetzes beraten. Außerdem sind wir als Schulungsanbieter für Auditoren gemäß § 8a BSIG tätig.

Stellen Sie Ihr Unternehmen IT-sicher auf! Gern begleiten wir Sie dabei von der Sicherheitsanalyse bis hin zur Umsetzung aller erforderlichen Maßnahmen. Als DSN GROUP freuen wir uns, Ihnen ein entsprechend umfangreiches Angebot machen zu können! Kontaktieren Sie uns.

Ihr Ansprechpartner

Vereinbaren Sie mit uns einen Beratungstermin. Wir freuen uns auf Ihre Anfrage!

Thomas Wennemann

Thomas Wennemann

Leiter Informationssicherheit | Beratung

E-Mail: twennemann@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-346

zum Kontaktformular