Betrifft die BSI-Kritis V
auch Sie?

Als kritisch im Sinne der BSI-Kritis V gelten Versorgungs-Dienstleistungen für die Allgemeinheit, deren Ausfall oder Störung erhebliche Versorgungsengpässe hervorrufen oder die öffentliche Sicherheit gefährden würde. Unternehmen gelten in der Regel als kritische Infrastrukturen, kurz KRITIS, wenn sie 500.000 Personen versorgen, teilweise wurde eine andere Bemessungsgröße gewählt. Betroffen sind folgende Branchen:

Fragen sie nach Ihrer individuellen All in One Lösung.

Individuelle Einzel- und Komplettlösungen im passenden Paket für Ihre IT-Infrastruktur

 Was ist KRITIS?

Im Sinne der EU-Richtlinie 2008/114/EG ist eine „kritische Infrastruktur“ eine Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung ist und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten

KRITIS-Verordnung und IT-Sicherheits­gesetz

Schutz­anforderungen für Betreiber Kritischer Infrastrukturen

Seit dem 25. Juli 2015 gilt das IT-Sicherheitsgesetz (IT-SiG) zur Erhöhung des Sicherheitsniveaus informationstechnischer Systeme. Am 3. Mai 2016 trat der erste Teil der BSI KRITIS-Verordnung in Kraft, der die Organisationen festlegt, die dem IT-Sicherheitsgesetz unterliegen. Mit der Änderungsverordnung vom 30. Juni 2017 wurden weitere Sektoren und Branchen definiert, des Weiteren ist hierin die Umsetzung des IT-Sicherheitsgesetzes für KRITIS-Betreiber näher spezifiziert.

Demnach sind KRITIS-Organisationen als Einrichtungen und Betreiber von Kritischen Infrastrukturen und Diensten u.a. zur Umsetzung von Mindeststandards für IT-Sicherheit verpflichtet, um sich vor Cyber-Attacken und anderen externen Angriffen zu schützen. Zu den Mindeststandards zählen z.B. erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz von Kundendaten sowie erhöhte Sicherheitsanforderungen zum Schutz der genutzten IT-Systeme.

Darüber hinaus besteht für Organisationen aus KRITIS-Sektoren eine Meldepflicht im Falle erheblicher Störungen ihrer IT-Sicherheit, insbesondere wenn negative Auswirkungen für das staatliche Gemeinwesen drohen, etwa durch Beeinträchtigung der öffentliche Sicherheit oder gravierende Engpässe in Gesundheit, Versorgung oder anderen KRITIS-Sektoren.

Kritische Infrastruktur-Sektoren nach BSI KRITIS-Verordnung

Organisationen und Einrichtungen aus folgenden Branchen zählen zu den Sektoren der Kritischen Infrastrukturen:

  • KRITIS Energie (Stromnetzbetreiber, Kernkraftwerke, Mineralölbetriebe, Gasnetzbetreiber)
  • KRITIS Gesundheit (Med. Versorgung, Arzneimittel und Impfstoffe, Labore)
  • KRITIS Wasser (Trinkwasserversorgung, Abwasserentsorgung)
  • KRITIS Ernährung (Ernährungswirtschaft, Lebensmittelhandel)
  • KRITIS Informationstechnik und Telekommunikation (Informationstechnische Systeme, Netzbetreiber sowie Dienstleister für IT und Telekommunikation)
  • KRITIS Finanz- und Versicherungswesen (Banken, Börsen, Versicherungen, Finanzdienstleister)
  • KRITIS Transport und Verkehr (Luftverkehr, Schienenverkehr, Binnen- und Seeschifffahrt, Straßenverkehr, Logistik)
  • KRITIS Medien und Kultur (Rundfunk, TV, Presse, Kulturgut, symbolträchtige Bauwerke)
  • KRITIS Staat und Verwaltung (Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/Rettungswesen einschließlich Katastrophenschutz)

Gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) besteht regelmäßige Nachweispflicht über die Erfüllung sämtlicher Sicherheitsanforderungen (alle zwei Jahre). Ausgenommen sind lediglich Organisationen des öffentlichen Sektors „Staat und Verwaltung“; hier obliegt die Überprüfung der Umsetzung und Einhaltung der Anforderungen dem Bund.

Erweiterte Pflichten für KRITIS-Betreiber durch NIS-Richtlinie

Ab 9. Mai 2018 ist die NIS-Richtlinie – „Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ – auch in Deutschland rechtskräftig. Hierin werden nicht nur zusätzliche Einrichtungen und Akteure aus dem Sektor „Digitale Dienste“ in die Pflicht genommen. Die NIS-Richtlinie definiert auch zusätzliche Anforderungen hinsichtlich der Meldepflichten bei IT-Störungen sowie erweiterte Nachweispflichten für KRITIS-Betreiber. Im Rahmen neuer Befugnisse werden z.B. Kontrollbesuche durch das BSI auch dann möglich sein, wenn bis dato keine Mängel nachgewiesen worden sind. KRITIS-Betreiber müssen also in der Lage sein, entsprechende Audits, Prüfungen oder Zertifizierungen jederzeit nachweisen zu können. Mit fuentis sind Organisationen und Dienstleister aus KRITIS-Sektoren auf der sicheren Seite:

Informationssicherheits-Managementsysteme wie das fuentis ISMS Modul stellen eine verlässliche Grundlage, um organisationsspezifische Assets darzustellen und sektorspezifische Prüfprozesse zu implementieren und die geforderten Mindest-Sicherheitsstandards zu überwachen – und somit jederzeit auskunftsfähig zu sein.

Vorteile der fuentis Suite für KRITIS-Betreiber

Das ISMS Modul der fuentis Suite entspricht sowohl den Anforderungen des BSI IT-Grundschutzes und dessen Umsetzung als auch der ISO 27001. Der ganzheitliche Ansatz des Integrierten Managementsystems ermöglicht speziell für KRITIS-Organisationen eine Fülle von Management-, Prüf- und Sicherheitsfunktionen, die kein anderes ISMS außer fuentis zu bieten hat:

  • Sektorspezifische Abbildung der Assets in der CMDB
  • Sektorspezifische Dokumentenlenkung
  • Erstellung eines Netzstrukturplanes
  • Integration des Notfallmanagements (BCM)
  • Umsetzung eines Technischen Sicherheitsmanagements (TSM)
  • Aufnahme und Verfolgung von Sicherheitsvorfällen
  • Unterstützung von branchenspezifischen IT-Sicherheitsstandards (wie z.B. Wasser/Abwasser (B3S)

 

Hintergrund der KRITIS-Verordnung

Ob Strom oder Trinkwasser, Verkehr oder Ernährung – Beeinträchtigungen, nachhaltige Störungen oder gar Ausfälle von Versorgungsleistungen und Dienstleistungen im Bereich der Kritischen Infrastrukturen (KRITIS) könnten dramatische Folgen für Deutschlands Wirtschaft und Gesellschaft haben. Die Sicherheit und Verfügbarkeit der informationstechnischen Systeme in KRITIS-Organisationen ist daher für das staatliche Gemeinwesen von zentraler Bedeutung.

KRITIS-Betreiber müssen

  • IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ einsetzen und erhalten (§ 8a Abs. 1 BSI-Gesetz) und
  • dem BSI erhebliche IT-Störungen melden (§ 8b Abs. 4 BSI-Gesetz).

Öffentlichkeit

IT bildet heute die Basis für alle Arbeitsprozesse. Deshalb haben wir mit Q-Softs spezielle maßgeschneiderte IT-Lösungen für Behörden, Non Profit oder EU-Institutionen entwickelt, die den speziellen Marktanforderungen gerecht werden und zu einer erheblichen Kosten-Nutzen-Effizienz beitragen.

Industrie 4.0

Die Vernetzung von Maschinen und Produktionen (Internet der Dinge) und die zunehmende Digitalisierung der gesamten Wertschöpfungskette bieten neue Chancen für die Wirtschaft.

Wir entwickeln Strategien und passgenaue Lösungen rundum Industrial Security, Network, Collaboration, Remote Expert, Mobile Apps, Cloud, Big Data, Applications und Data Center an.

Bildungswesen

Schulen stehen vor neuen Herausforderungen. Denn auch Bildungseinrichtungen setzen sich inzwischen mit der Digitalisierung auseinander. Die digitale Transformation der Schulen schreitet in Deutschland voran. Dadurch wird die Digitalisierung der Klassenzimmer forciert und zukunftssicher gestaltet.

Gesundheitswesen

Die notwendigen Prozesse, Systeme und Anwendungen müssen die individuellen Anforderungen der Patienten, des medizinischen Personals und der Verwaltung gleichberechtigt und durchgängig berücksichtigen. Alle Beteiligten benötigen „ihre“ relevanten Informationen zum richtigen Zeitpunkt am richtigen Ort – selbstverständlich unter Beachtung von höchsten Sicherheits- und Datenschutzanforderungen.