MENU
  1. Zertifizierung
  2. Systemzertifizierung
  3. Informationssicherheit
  4. KRITIS
  • Kostenlose Service-Hotline 0800 245 7457
  • Mo. - Fr. 8:00 - 18:00 Uhr

IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) ist ein im Juli 2015 in Kraft getretenes Gesetz der deutschen Bundesregierung und resultiert nach Angaben des Bundesinnenministeriums aus der im Februar 2011 beschlossenen Cyber-Sicherheitsstrategie. Im Fokus des Gesetzes steht der Vorsatz, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Aus diesem Grund stellen Regelungen zur Verbesserung der Verfügbarkeit und Sicherheit der IT-Systeme einen zentralen Teil des IT-Sicherheitsgesetzes dar. Denn mögliche Ausfälle oder Beeinträchtigungen, vor allem im Bereich der Kritischen Infrastrukturen, können erhebliche Folgen für das Gemeinwesen haben. Betreiber Kritischer Infrastrukturen müssen deshalb zukünftig ein Mindestmaß an IT-Sicherheit gewährleisten. Dieses kann durch eine Prüfung nach §8a BSIG oder ggfs. durch eine Zertifizierung in Anlehnung an ISO 27001 erreicht werden, die abhängig von der jeweiligen Branche durch sektorspezifische Ergänzungen komplettiert werden muss.

KRITIS – welche Branchen sind betroffen?

Die Versorgung unserer modernen Gesellschaft ist von einem reibungslosen Funktionieren ihrer IT-Systeme abhängig. Fehlen beispielsweise Strom, Gas oder Kraftstoffe, können wichtige Leistungen nicht mehr erbracht werden und das öffentliche Leben kommt innerhalb kürzester Zeit zum Erliegen. Einrichtungen und Anlagen, die bei Ausfällen oder Störungen solche Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit bewirken können, fallen in den Bereich der Kritischen Infrastrukturen (KRITIS). Nach dem BSI-Gesetz sind Unternehmen aus diesen wichtigen Wirtschaftssegmenten dazu verpflichtet, ein Informationssicherheits-Managementsystem zu implementieren und dessen Wirksamkeit in regelmäßigen Abständen überprüfen zu lassen. Auf diese Weise können Risiken erkannt und reduziert werden. Erhebliche Sicherheitsvorfälle sind dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Umgesetzt wird das BSIG in zwei Phasen und betrifft in erster Linie sieben Branchen:

  • Energie 
  • Informationstechnik und Telekommunikation
  • Wasser
  • Ernährung
  • Transport und Verkehr
  • Gesundheit
  • Finanz- und Versicherungswesen  

Spätestens zwei Jahre nach Inkrafttreten des jeweiligen Korbes der BSI-Kritisverordnung sind Betreiber Kritischer Infrastrukturen dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik zu treffen. Diese beziehen sich auf die informationstechnischen Systeme und Prozesse, die bedeutend für die Verfügbarkeit der kritischen Dienstleistungen sind. Im Anschluss daran müssen KRITIS-Betreiber mindestens alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen, dass sie die entsprechenden Anforderungen erfüllen. Dabei muss es nicht zwingend eine Zertifizierung nach ISO 27001 sein. Die Gesetz- und Regelwerksgeber räumen den betroffenen Unternehmen auch die Möglichkeit ein, eigene branchenspezifische Sicherheitsstandards und Nachweisprüfungen zu entwickeln und dem BSI, z.B. als brancheneigener „B3S“, zur Prüfung vorzulegen.

Zwei Umsetzungsphasen

  • Korb 1: Der erste Korb, der am 03.05.2016 in Kraft getreten ist, umfasst die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung. Bis Mai 2018 müssen diese ihre IT nach dem Stand der Technik absichern und damit einen Mindestschutz an IT-Sicherheit nachweisen.
  • Korb 2: Der zweite Korb betrifft Unternehmen aus den Bereichen Transport und Verkehr, Gesundheit und Finanz- und Versicherungswesen. Da dieser Korb am 30.06.2017 in Kraft getreten ist, müssen betroffene Unternehmen den entsprechenden Nachweis im Bereich der IT-Sicherheit bis zum 30.06.2019 erbringen.

Mit TÜV NORD CERT auf der sicheren Seite

Als verlässlicher Partner unterstützen wir Sie bei der Implementierung und Aufrechterhaltung eines funktionierenden Informationssicherheits-Managementsystems. Mit einer Zertifizierung durch uns erfüllt Ihr Unternehmen die im IT-Sicherheitsgesetz gestellten Anforderungen und kann dies durch ein entsprechendes Zertifikat auch nach außen hin belegen. Die Beratung vor der Zertifizierung erfolgt dabei durch die TÜViT.

Wir freuen uns auf Ihre Anfrage

Zertifizierung

Anrufe aus Österreich und der Schweiz: +49 511 998-61222
Anrufe aus Deutschland (kostenlos):

0800 245-7457

info.tncert@tuev-nord.de