KRITIS: Mit Sicherheit sicher

Kritische Infrastrukturen (kurz: KRITIS) sind Unternehmen, Organisationen und Einrichtungen, die für das tägliche Leben wichtig und notwendig sind. Ihre Produkte und Leistungen bilden die Voraussetzung für unseren gewohnten Lebensstandard. Oft wird uns ihre Relevanz erst in einer Mangelsituation bewusst. Beispielweise wenn der Strom ausfällt, wir weder kochen, noch fernsehen können und unsere im Kühlschrank gelagerten Lebensmittel verderben.

Als „kritisch“ werden daher alle Infrastrukturen bezeichnet, die lebensnotwendig sind und gar nicht oder nicht für einen längeren Zeitraum ausfallen dürfen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat alle Unternehmen, deren Leistungen für den Fortbestand des Staatswesens und der Gesellschaft von zentraler Bedeutung sind, in folgende KRITIS-Sektoren gruppiert:

Schaubild: Wer zählt zur KRITIS?

 

 

& beinhaltet bald auch den Bereich Entsorgung! Der Entwurf für das IT-Sicherheitsgesetzt 2.0 sieht diese Ergänzung vor. Alle Änderungen gibt es hier auf einen Blick.

 

 

In der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) sind für die Sektoren auch deren jeweiliger Schwellwert bestimmt. D.h. nicht jedes Unternehmen aus den festgelegten Bereichen zählt automatisch zur KRITIS. Erst wenn Anlagen oder Systeme mit einer erheblichen Größenordnung betrieben werden erfolgt die Zuordnung. Der Regelschwellenwert beträgt dabei 500.000 versorgte Personen. Hiervon leiten sich die jeweils sektorspezifischen Richtwerte ab.

So unterschiedlich die Branchen auch sind, eins haben sie gemeinsam:

Den Schutz ihrer Kritischen Infrastruktur und zwar bevor es kritisch wird!

Keine Frage – die stetig wachsenden Erweiterungen und Möglichkeiten digitaler Technologien erleichtern unseren Arbeits- bzw. Lebensalltag in vielerlei Hinsicht. Bleiben jedoch Sicherheitsrisiken unbekannt oder unbehandelt, ist der spätere Schaden womöglich viel größer als der vorherige Nutzen.

Speziell im Bereich der Kritischen Infrastrukturen spielen Verfügbarkeit und Sicherheit der IT-Systeme eine zentrale Rolle. Für KRITIS-Betreiber gelten daher besondere Pflichten. Festgehalten im Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, kurz IT-SiG) bedeutet das nach § 8a Abs. (1) u.a.:

 „[…] spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung [sind] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit […] maßgeblich sind.“

IT-SiG: Besonderen Pflichten von KRITIS-Betreibern

  • Innerhalb von 6 Monaten muss dem BSI eine jederzeit erreichbare Kontaktstelle benannt werden
  • Meldewürdige IT-Störungen müssen dem Bundesamt unverzüglich mitgeteilt werden
  • Angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen sind nach dem „Stand der Technik“ umzusetzen
  • Die Erfüllung der Anforderungen zur Vermeidung von Störungen muss mindestens alle zwei Jahre gegenüber dem BSI nachgewiesen werden

Sicherheit mit System

Am besten gelingt der notwendige Schutz von Unternehmensinformationen und -daten mit einem Informationssicherheits-Managementsystem (ISMS). Getreu dem Motto „Vorsorge ist besser als Nachsorge“ empfiehlt sich das rechtzeitige Implementieren und kontinuierliche Aufrechterhalten. Denn: Das BSI ist berechtigt Unternehmen zu prüfen und bei Pflichtverletzungen erhebliche Bußgelder zu verhängen! Das IT-Sicherheitsgesetzt 2.0 sieht hier eine deutliche Erhöhung vor. Voraussichtlich wird der Bußgeldrahmen an den der DSGVO angepasst.

Neben der Unterstützung beim Einhalten von Gesetzen, Vorgaben und Normen, hilft ein ISMS ein ganzheitliches Sicherheitskonzept zu erstellen. Notwendige Maßnahmen und Richtlinien werden dabei definiert. Ist das ISMS einmal etabliert, kann es die IT-Sicherheit zielorientiert im gesamten Unternehmen steuern und kontrollieren.

Dabei umfasst ein ISMS nicht bloß die „klassische“ IT, sondern speziell auch die Bereiche der Operational-Technology-Netzwerke (OT-Netzwerke). Bei Energieversorgern sind das beispielsweise die Steuer- und Leitsysteme von Umspannwerken. Bei Krankenhäusern die gesamte vernetzte Medizintechnik. Und im künftigen KRITIS-Sektor der Entsorger zählen dann beispielsweise alle IT-Produkte, die Anlagen oder Systeme zur Abfallentsorgung betreiben dazu. Insgesamt rücken also Systeme, die meistens ehr Ingenieur- oder Fachabteilungen als der IT zugeordnet sind in den Fokus.

So profitieren Unternehmen nicht erst in konkreten Notfall-Situationen von einem gelebten ISMS nach gemäß z.B. ISO/IEC 27001 oder der Branchenspezifischen Sicherheitsstandards des BSI (B3S): Bereits im Vorfeld hilft das System, Risiken transparent aufzuzeigen und Kosten langfristig zu sparen.

Mit Know-how das IT-Sicherheitsgesetz verlässlich umsetzen

Benötigen Sie zusätzliche Informationen oder ein kostenloses Beratungsgespräch zum Thema KRITIS?

Spezialisiert auf IT-Sicherheitsfragen, teilen wir unser Know-how und Erfahrungen gern mit Ihnen!

Kontaktieren Sie uns telefonisch  +49 431 6703 0 oder per E-Mail an informationssicherheit@lmbit.de