Nachweispflicht für KRITIS Betreiber (Korb 2) rückt immer näher

Ein Informationssicherheitsmanagementsystem (ISMS) ist nach IT Sicherheitsgesetz zwingend notwendig für Betreiber Kritischer Infrastrukturen. Das ISMS, etwa ein System nach ISO 27001, muss nach dem Stand der Technik abgesichert sein und alle IT-Komponenten berücksichtigen, die für das Erbringen der kritischen Dienstleistung (kDL) notwendig sind.

Stand der Technik und B3S (Branchenspezifische Sicherheitsstandards) – was ist das?

Der Stand der Technik ist nicht universal festgelegt. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat es den betroffenen Branchen freigestellt, einen oder mehrere B3S zu erstellen, die den Stand der Technik in ihrer Branche (oder einem Teilbereich) definieren. Diese bilden einerseits die Grundlage für den Aufbau eines ISMS, dienen andererseits auch als Grundlage für die Prüfung.
Eine Übersicht über die veröffentlichten bzw. beantragten B3S ist auf der Webseite des BSI zu finden.

Was KRITIS-Betreiber jetzt tun müssen

Für Betreiber Kritischer Infrastrukturen wird folgende Vorgehensweise empfohlen, um den Anforderungen des IT-Sicherheitsgesetzes nachzukommen:

  • Geltungsbereich festgelegen und alle kDL einbeziehen
  • zugrundeliegende kDL-relevante Prozesse erheben und dokumentieren
  • kDL-relevanten IT-Systeme und deren Hilfssysteme identifizieren
  • eine Risikoanalyse und -bewertung der Systeme in Bezug auf die kDL durchführen
  • aus der Risikobewertung entstandene nötige Sicherheitsmaßnahmen planen, umsetzen und dokumentieren
  • Prüfgrundlage wählen (sofern ein B3S existiert, ist dieser empfohlen zu nehmen, da er den vom BSI akzeptierten Stand der Technik enthält)
  • Dokumentation entsprechend der Prüfgrundlage bereitstellen
  • Prüfung beauftragen

Wie läuft die Prüfung ab?

Nach der Beauftragung der GUTcert werden die Rahmenbedingungen, wie z.B. die Prüfgrundlage, Prüfungszeitraum etc. abgestimmt. Die GUTcert stellt anschließend ein geeignetes Prüfteam zusammen, das über die geforderten Kompetenzen (Verfahrenskompetenz, Auditkompetenz, IT-Sicherheitskompetenz sowie Branchenkompetenz) verfügt.

Der leitende Prüfer wird dann die Dokumente entsprechend der Prüfgrundlage anfordern und diese prüfen. Dies dient dazu, schon vorab erste große Mängel aufzudecken, die dann noch vor der Vor-Ort-Prüfung beseitigt werden können. Nach der Dokumentenprüfung wird ein detaillierter Prüfplan erstellt, in dem die einzelnen Prüfschritte dargelegt sind.

In der Vor-Ort-Prüfung wird dann die Wirksamkeit der eingeführten Regelungen begutachtet. Dazu werden Interviews geführt, IT Systeme und Räume besichtigt und weitere Dokumente eingesehen.

Erforderliche Nachweise

KRITIS Betreiber müssen als Nachweis der erfolgten Prüfung vier Nachweisdokumente an das BSI senden. Sie erhalten außerdem einen Auditbericht, den das BSI auf Anfrage nachfordern kann. Diese Dokumente stellt die GUTcert, nach erfolgreicher Prüfung vor Ort, für den KRITIS Betreiber aus.

Stichtag für das Einreichen beim BSI ist der 30.06.2019.

Schulungen zum Thema Informationssicherheitssysteme

Unsere GUTcert Akademie bietet viele praxisorientierte Seminare zum Thema Informationssicherheitssysteme an, u.a. eine Schulung zum Informationssicherheitsbeauftragten/-auditor nach ISO 27001 (GUTcert). Verschaffen Sie sich das nötige Know-how, um Ihre Organisation kompetent abzusichern.

Für Informationen zum Schulungsprogramm steht Ihnen das Team der GUTcert Akademie (+49 30 2332021-21) zur Verfügung.

Fragen rund um das Thema KRITIS und Anfragen zur Nachweiserbringung beantwortet Ihnen gerne Herr Marcel Däfler, Tel.: +49 30 2332021-79.

Über die GUTcert GmbH

Die Zertifizierung von Integrierten Managementsystemen mit den Schwerpunkten Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit sowie Energiemanagement ist das Hauptgeschäft der GUTcert. Weitere Kernkompetenzen der GUTcert sind die Verifizierung von Treibhausgasemissionen nach anerkannten Standards sowie die Zertifizierung der Nachhaltigkeitsanforderungen für Biomasse.

Als Mitglied der AFNOR Gruppe bietet die GUTcert ihre Zertifizierungsdienstleistungen im internationalen Netzwerk an, welches weltweit 28 Niederlassungen umfasst und mit 1.500 Auditoren und 20.000 Experten Kunden in über 90 Ländern betreut.

Die GUTcert Akademie bündelt das Fachwissen von Auditoren und anderen Experten, um Teilnehmern direkt anwendbare Kompetenzen mit nachhaltigem Mehrwert zu vermitteln.

Firmenkontakt und Herausgeber der Meldung:

GUTcert GmbH
Eichenstraße 3b
12435 Berlin
Telefon: +49 (30) 2332021-0
Telefax: +49 (30) 2332021-39
http://www.gut-cert.de

Ansprechpartner:
Marcel Däfler
Telefon: +49 30 2332021-79
E-Mail: Marcel.daefler@gut-cert.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.