Mindestmaß an IT-Sicherheit gesetzlich gefordert
Das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz zielt darauf ab, die Sicherheit von Unternehmen, Informationen und der dazugehörigen Informationstechnik zu verbessern. Denn vor allem im Bereich der Kritischen Infrastrukturen (KRITIS) bedeuten mögliche Ausfälle oder Beeinträchtigungen erhebliche Versorgungsengpässe oder führen zu Gefährdungen der öffentlichen Sicherheit. Um dem vorzubeugen, sind KRITIS-Betreiber zukünftig gesetzlich dazu verpflichtet, ein Mindestmaß an IT-Sicherheit in Form angemessener organisatorischer und technischer Vorkehrungen nach dem Stand der Technik zu gewährleisten. Diese beziehen sich auf die informationstechnischen Systeme und Prozesse, die bedeutend für die Verfügbarkeit der kritischen Dienstleistungen sind. In diesem Rahmen müssen betroffene Unternehmen ein Informationssicherheits-Managementsystem (ISMS) implementieren und dessen Wirksamkeit mindestens alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen. Auf diese Weise können Risiken erkannt und reduziert werden. Erhebliche Sicherheitsvorfälle sind dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Ein Nachweis, viele Möglichkeiten
Grundsätzlich kann ein Nachweis über ein Mindestmaß an IT-Sicherheit durch eine Prüfung nach §8a BSIG oder ggfs. durch eine Zertifizierung in Anlehnung an ISO 27001 erbracht werden. Abhängig von der jeweiligen Branche muss diese noch durch sektorspezifische Ergänzungen komplettiert werden.
Zur Nachweisführung, ob das Informationssicherheits-Managementsystem (ISMS) den Anforderungen des BSI Rechnung trägt, haben die Gesetz- und Regelwerksgeber den Anlagenbetreibern ebenfalls die Möglichkeit gegeben, eigene Sicherheitsstandards und Nachweisprüfungen zu entwickeln und dem BSI, z.B. als brancheneigene „B3S“, zur Prüfung vorzulegen. Zur Entwicklung der B3S hat das BSI in der Orientierungshilfe Mindestanforderungen vorgegeben, die mitunter aus der international führenden Norm für ISMS (ISO 27001) abgeleitet wurden.
Mit uns gehen Sie auf Nummer sicher
Wir bieten Ihnen neben Zertifizierungen nach ISO 27001 ein breites Portfolio an Prüfdienstleistungen an – sowohl mit, als auch ohne Verwendung branchenspezifischer Sicherheitsstandards –, die es Unternehmen aller Branchen und Größen ermöglichen, ihren individuellen Bedarf zu ermitteln und auf die entsprechenden Anforderungen für ein wirksames ISMS zu reagieren.
Sie haben noch Fragen zum Thema oder sind auf der Suche nach Erfahrungswerten? Dann haben wir die passende Veranstaltung für Sie! Auf unserem ISMS-Day am 20. Februar 2019 widmen wir einen Themenblock den Kritischen Infrastrukturen. Hierbei geht es unter anderem um die Fragen, welche Erfahrungen bislang in Bezug auf Korb 1 gesammelt wurden und was Unternehmen aus dem Korb 2 erwartet. Wir freuen uns auf Sie.