Sicherheit in der Informationstechnik Kritischer Infrastrukturen (KRITIS) gem. §8a BSIG

Hintergrund

Sofern Sie Dienstleistungen zur Versorgung der Allgemeinheit gemäß den in der BSI-Kritisverordnung aufgelisteten Sektoren erbringen und die dort genannten Schwellenwerte überschreiten, sind Sie gemäß BSI Gesetz als „Betreiber Kritischer Infrastrukturen […] verpflichtet, [..] angemessene organisatorische und technische Vorkehrungen […] [für Ihre] informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind (§8a, Absatz 1 BSIG) und „mindestens alle zwei Jahre die Erfüllung der Anforderungen […] nachzuweisen“ (§8a, Absatz 3 BSIG).

Der Begriff „Kritische Infrastruktur“ (KRITIS) wurde vom Bundesministerium des Innern wie folgt definiert: „Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Die KRITIS wurden in folgende Sektoren und Brachen aufgeteilt:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen
  • Staat und Verwaltung
  • Medien und Kultur

Sofern Sie unsicher sind, ob Ihr Unternehmen ebenfalls in diese Sektoren fällt, können Sie gerne auf uns zukommen.

Möglichkeiten des Nachweises

Zur Erfüllung der gesetzliche Nachweispflicht (§8a, Absatz 3 BSIG) räumt der Gesetzgeber unterschiedliche Möglichkeiten ein.

  1.  Einerseits ist eine Prüfung auf Grundlage eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S) möglich.
  2. Auch ohne Verwendung eines branchenspezifischen Sicherheitsstandards (B3S) sind Prüfungen möglich, sofern für Durchführung der Prüfung ein „geeignetes Prüfverfahren“ vorliegt. „Geeignete Prüfverfahren“ müssen nachvollziehbar dokumentiert sein und können sich an der Orientierungshilfe zu B3S, anderen B3S oder einschlägigen Standards wie z. B.  ISO 27001 orientieren.
  3. Darüber hinaus können auch vorhandene Prüfungen bei der Erbringung des Nachweises berücksichtigt werden, sofern die Prüfungen aktuell sind.

Egal für welche Variante Sie sich entscheiden, die UMCert GmbH kann Ihnen als Prüfstelle für Prüfungen nach §8a BSIG weiterhelfen.

Unterstützungsleistungen der UIMCert

Die UIMCert besitzt als DAkkS akkreditiertes Unternehmen umfangreiche fachliche Kompetenz im Umfeld der Informationssicherheit. Durch unsere qualifizierten ISO 27001, §8a BSIG (Kritis) und BSI-Grundschutz Lead-Auditoren, Auditteamleiter und Datenschutzexperten, die sowohl mit Zertifizierungen und  Gütesiegelungen als auch mit Normen und deren Eigenheiten bestens vertraut sind und damit ausführliche Fach- und Methodenkompetenz besitzen, können wir Ihnen praxisgerechte Auditierungen bieten und Sie auf dem Weg zur Zertifizierung unterstützen.

Die UIMCert kennt die Informationssicherheitsmanagementprozesse in Institutionen unterschiedlicher Branchen sehr genau und kennt daher auch die Fallstricke bei den jeweiligen Prozessen und kann gezielt auf die individuelle Situation der Auditees eingehen.

Die UIMCert bietet die Durchführung von Prüfungshandlungen zur Erlangung von Nachweisen gem. §8a BSIG (Kritis), sowie eines ISO 27001 Zertifikats, bei Bedarf unter Berücksichtigung von branchenspezifischen Subnormen, sodass der Beleg für die Umsetzung der Forderungen des IT-Sicherheitsgesetzes eine hohe Glaubwürdigkeit und damit hohe Akzeptanz aufweist.

Durch die jahrelange Tätigkeit in diesem Normumfeld und durch Festlegung der genauen Arbeitsschritte können wir mit Ihnen gemeinsam ein klar strukturiertes und transparentes Verfahren durchführen und helfen Ihnen somit, Zeit und damit auch Kosten zu sparen. Die Ergebnisse der Begutachtung werden von uns in einem Bericht zusammengefasst, mit welchem Sie durch die Dokumentation der eventuellen Auditfindings auch gleichzeitig eine Möglichkeit zur Optimierung Ihres ISMS erhalten.

Auf Grund der sehr unterschiedlichen Branchen und damit verbundenen unterschiedlichen Risiken sollte eine individuelle Vorgehensweise bei „Kritis-Prüfungen“ gemeinsam festgelegt werden. Insbesondere, wenn kein vom BSI anerkannter branchenspezifischer Sicherheitsstandard für Ihren Tätigkeitsbereich vorliegt, bietet sich ein gemeinsames Gespräch für die Abstimmung einer geeigneten Vorgehensweise zur Erfüllung der Nachweis an. Sprechen Sie uns hierzu bitte an und wenden Sie sich an:

Sofern Sie unsicher sind, ob Ihr Unternehmen ebenfalls in diese Sektoren fällt, können Sie ebenfalls gerne auf uns zukommen.

Sie finden sich im Normen-Zoo nicht zurecht?

Oder Sie sind sich unsicher, welche Norm die Richtige für Sie und Ihr Vorhaben ist?
Dann empfehlen wir Ihnen unseren Normen-Strukturierungs-Workshop!