Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)

Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) wurde am 12. Juni 2015 verabschiedet und hat zum Ziel, die IT-Sicherheit insbesondere bei Institutionen innerhalb der kritischen Infrastruktur („KRITIS“) gesetzlich zu regeln und zu verbessern. Unternehmen müssen nun gewisse Mindestanforderungen erfüllen und diese auch nachweisen. Hierzu gibt es eine Übergangszeit von zwei Jahren. Die Institutionen sind ferner verpflichtet, Hackerangriffe an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Nachfolgend finden Sie entsprechend FAQ (typische Fragen):

Muss mein Unternehmen das Gesetz zwingend einhalten?

Das IT-Sicherheitsgesetz enthält Anforderungen an die Informationssicherheit zum Schutz kritischer Infrastrukturen. Demnach müssen „nur“ Unternehmen das IT-Sicherheitsgesetz beachten, welche in diesem Bereich tätig sind.

Der Begriff „Kritische Infrastruktur“ (KRITIS) wurde vom Bundesministerium des Innern wie folgt definiert:

„Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Die KRITIS wurden in folgende Sektoren und Brachen aufgeteilt:

·       Energie

·       Informationstechnik und Telekommunikation

·       Transport und Verkehr

·       Gesundheit

·       Wasser

·       Ernährung

·       Finanz- und Versicherungswesen

·       Staat und Verwaltung

·       Medien und Kultur

Sofern Sie unsicher sind, ob Ihr Unternehmen ebenfalls in diese Sektoren fällt, können Sie gerne auf uns zukommen.

Was muss in unserem Unternehmen beachtet und umgesetzt werden?

Das IT-Sicherheitsgesetz verlangt von KRITIS-Betreibern, unter Einhaltung des aktuellen Stands der Technik, die Implementierung von organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse.

Zusätzlich wird eine Überprüfung der Umsetzung der im IT-Sicherheitsgesetz festlegten Anforderungen gefordert. Diese Überprüfung soll alle zwei Jahre stattfinden und kann sowohl durch Zweitparteienaudits oder insbesondere durch eine branchenübliche Zertifizierung nachgewiesen werden. Die für die jeweiligen Branchen relevanten Standards und Verfahren können vom BSI unter Berücksichtigung der Betreiber und der Wirtschaftsverbände definiert werden.

Betreiber von Strom- und Gasnetzen müssen der BNetzA bis zum 30.11.2015 einen Ansprechpartner IT-Sicherheit benennen.

Müssen wir uns an einer ISO-Norm orientieren?

Für Betreiber von Energieversorgungsnetzen und Energieanlagen, wurde von der Bundesnetzagentur (BNetzA) im Benehmen mit dem BSI ein Sicherheitskatalog erstellt, nach dessen Vorgaben sich die Betreiber auszurichten haben.

Die Bundesnetzagentur hat hierzu den IT-Sicherheitskatalog entwickelt und diesen im August 2015 final veröffentlicht. Der IT-Sicherheitskatalog der BNetzA fordert die Einführung und Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) für die IKT Systeme der Netzbetreiber. Derzeit befindet sich der IT-Sicherheitskatalog im Entwurfsstadium.

Innerhalb dieses Katalogs wird auf den Informationssicherheitsmanagementstandard ISO/IEC 27001 in Verbindung mit branchenspezifischen Sub-Normen verwiesen.

Das ISMS soll auf Basis der Informationssicherheitsmanagementnorm ISO/IEC 27001 geplant und implementiert werden. Bei der Implementierung sind hierbei die Anforderungen der ISO 27002 sowie der sowie der jeweiligen branchenspezifischen Subnormen (bspw. wie der DIN ISO/IEC TR 27019 Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung) zu berücksichtigen. Innerhalb der ISO 27002 und der darauf aufbauenden Subnormen werden Hilfen bei der Umsetzung der ISMS Anforderungen gegeben und die Standardmaßnahmen um die branchentypischen Sicherheitsbelange erweitert.

Telekommunikationsdiensteanbieter, Betreiber von öffentlichen Telekommunikationsnetzen und Erbringer von öffentlich zugänglichen Telekommunikationsdiensten müssen die Anforderungen des „Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten“ unterwerfen. Hierbei wird ebenfalls auf die ISO 27001 als Grundlage für den Aufbau eines ISMS referenziert.

 

Ist eine Zertifizierung verpflichtend?

Eine weitere Kernvorgabe des IT-Sicherheitskatalogs ist die Forderung nach einer Zertifizierung des ISMS gem. ISO 27001 durch eine akkreditierte Zertifizierungsstelle. Die durch den IT-Sicherheitskatalog auf die Umsetzung IT-sicherheitstechnischer Mindeststandards verpflichteten Strom- und Gasnetzbetreiber müssen die Zertifizierung bis zum 31. Januar 2018 vorgenommen haben. ..

Wie kann uns die UIMCert unterstützen?

Als akkreditiertes Unternehmen können wir Ihnen folgende Unterstützung anbieten:

·         Auditierung der Managementsystem-Dokumentation

·         Beurteilung der standortspezifischen Bedingungen

·         Ermittlung der Bereitschaft für Zertifizierungsaudit

·         Begutachtung der Umsetzung der Normforderungen vor Ort

·         Begutachtung der Umsetzung der dokumentierten Verfahren

·         Überprüfung der Leistungsfähigkeit des ISMS

Wenn die Institution nicht weiß, wo Sie qualitativ steht, hat die UIMCert ein Konzept entwickelt, um den Status-quo der Institution zu evaluieren. Die UIMCert kann:

·         Prüfung des Fortschritts der Implementierung eines ISMS

·         Ermittlung des Grades der Erfüllung anwendbarer Anforderungen an das ISMS

·         Prüfung der Anwendung und Wirksamkeit des ISMS

·         Identifikation von Sicherheitsschwachstellen

·         Feststellung von Verbesserungspotential

Zu Beginn kann auch gerne zunächst ein Workshop durchgeführt werden, durch den das Projekt, die ausgewählten Normen und die Ziele definiert werden können.

Gerne können wir Ihnen unsere Unterstützung vollkommen unverbindlich einmal persönlich vorstellen. Wir freuen uns auf Ihren Kontakt.

Warum sollte uns gerade die UIMCert unterstützen?

Die UIMCert besitzt als DAkkS akkreditiertes Unternehmen umfangreiche fachliche Kompetenz im Umfeld der Informationssicherheit. Durch unsere qualifizierten ISO 27001 Lead-Auditoren, Auditteamleiter und Datenschutzexperten, die sowohl mit Zertifizierungen und  Gütesiegelungen als auch mit Normen und deren Eigenheiten bestens vertraut sind und damit ausführliche Fach- und Methodenkompetenz besitzen, können wir Ihnen praxisgerechte Auditierungen bieten und Sie auf dem Weg zur Zertifizierung unterstützen.

Die UIMCert kennt die Informationssicherheitsmanagementprozesse in Institutionen unterschiedlicher Branchen sehr genau und kennt daher auch die Fallstricke bei den jeweiligen Prozessen und kann gezielt auf die individuelle Situation der Auditees eingehen.

Die UIMCert bietet die Durchführung von Prüfungshandlungen zur Erlangung eines ISO 27001 Zertifikats, bei Bedarf unter Berücksichtigung von branchenspezifischen Subnormen, sodass der Beleg für die Umsetzung der Forderungen des IT-Sicherheitsgesetzes eine hohe Glaubwürdigkeit und damit hohe Akzeptanz aufweist.

Durch die jahrelange Tätigkeit in diesem Normumfeld und durch Festlegung der genauen Arbeitsschritte können wir mit Ihnen gemeinsam ein klar strukturiertes und transparentes Verfahren durchführen und helfen Ihnen somit, Zeit und damit auch Kosten zu sparen. Die Ergebnisse der Begutachtung werden von uns in einem Bericht zusammengefasst, mit welchem Sie durch die Dokumentation der eventuellen Auditfindings auch gleichzeitig eine Möglichkeit zur Optimierung Ihres ISMS erhalten.

Gerne können wir Ihnen unsere Unterstützung vollkommen unverbindlich einmal persönlich vorstellen. Wir freuen uns auf Ihren Kontakt.