MENU
  • Jetzt Kontakt aufnehmen!

UnKRITISche IT-Sicherheit: Mit TÜViT zum erfolgreichen Nachweis gemäß §8a BSIG

Als Betreiber Kritischer Infrastrukturen (KRITIS) müssen Sie gemäß §8a des BSI-Gesetzes alle 2 Jahre belegen, dass Ihre IT-Sicherheit auf dem Stand der Technik ist. Der Nachweis erfolgt dabei laut BSI-Kritisverordnung (BSI-KritisV) durch eine entsprechende Prüfung nach §8a BSIG

Mit uns erbingen Sie den geforderten Nachweis: Wir prüfen Ihre IT-Sicherheit nach den Anforderungen des IT-Sicherheitsgesetzes und begutachten, ob Sie in Bezug auf Ihre IT-Systeme, -Prozesse und -Komponenten angemessene Vorkehrungen nach dem Stand der Technik getroffen haben. Als zertifizierter IT-Sicherheitsdienstleister erfüllen wir die Voraussetzungen des BSI als prüfende Stelle für §8a BSIG - Prüfungen von Kritischen Infrastrukturen und verfügen über die entsprechende Prüfverfahrenskompetenz.

Darüber hinaus unterstützen wir Sie beim Aufbau eines Informationssicherheits-Managementsystems (ISMS), beispielsweise nach ISO 27001, oder bei der Umsetzung eines branchenspezifischen Sicherheitsstandards (B3S).


+++ Entsorger aufgepasst: IT-SIG 2.0 sieht Abfallwirtschaft als neue Kritische Infrastruktur vor +++

Die KRITIS-Sektoren werden im Rahmen des IT-Sicherheitsgesetzes 2.0 voraussichtlich um den Bereich der Entsorgung ergänzt. Hintergrund dafür ist die Tatsache, dass Ausfälle oder Beeinträchtigungen im Bereich der Abfallwirtschaft nicht nur zur massiven Umweltverschmutzung, sondern auch zu einem Anstieg der Seuchengefahr führen würden. 

  


KRITIS: Unsere Leistungen für Betreiber Kritischer Infrastrukturen im Überblick

Prüfung nach §8a BSIG

  • Planung und Vorbereitung der Prüfung
  • Optional Stellung von Branchenexperten
  • Durchführung der Prüfung
  • Erstellung aller Nachweisdokumente

ISMS-Aufbau: Workshops & Coaching

  • Rückgriff auf ein eigens entwickeltes Vorgehensmodell unter Berücksichtigung u. a. des Geltungsbereichs, der Schutzbedarfsermittlung, der Erstellung von Dokumenten und des Aufsetzens von Prozessen
  • Unterstützung durch Workshops zum jeweiligen Projektstand
  • Einschätzung und Bewertung von Risiken der Informationssicherheit mithilfe von Risikoassessments

Gap-Analysen zur Reifegrad-Ermittlung Ihres ISMS

  • Sichtung der zur Verfügung gestellten Unterlagen und Pläne (im Vorfeld)
  • Auditierung vor Ort (Begehung der Räumlichkeiten, Durchführung von Interviews und Stichproben) sowie
  • nachgelagert die Erstellung eines Berichts mit Feststellungen und Schlussfolgerungen

Gap-Analysen zu einem branchenspezifischen Sicherheitsstandard (B3S)

  • Sichtung der zur Verfügung gestellten Unterlagen und Pläne (im Vorfeld)
  • Auditierung vor Ort (Begehung der Räumlichkeiten, Durchführung von Interviews und Stichproben) sowie
  • nachgelagert die Erstellung eines Berichts mit Feststellungen und Schlussfolgerungen

Ihre Vorteile auf einen Blick

  • Absicherung nach dem Stand der Technik und damit erhöhte Sicherheit in Bezug auf IT-Systeme, -Prozesse und -Komponenten
  • objektiver Nachweis über die Erfüllung der Anforderungen aus dem IT-Sicherheitsgesetz
  • Rechtssicherheit durch Erfüllung gesetzlicher Auflagen
  • stärkeres Bewusstsein und gesteigerte Sensibilität für IT-Sicherheitsthemen und neue Cyber-Gefahren

KRITIS – Was verbirgt sich dahinter?

Als Kritische Infrastrukturen (KRITIS) werden Organisationen und Einrichtungen bezeichnet, die sich entscheidend auf das staatliche Gemeinwesen auswirken. Das umfasst die folgenden Sektoren:


Fallen diese Kritischen Infrastrukturen aus oder werden beeinträchtigt, ist mit nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen zu rechnen. Fehlen beispielsweise Strom und Gas können wichtige Leistungen nicht mehr erbracht werden und ohne eine kontinuierliche Versorgung mit Lebensmitteln und Trinkwasser ist das Leben kaum vorstellbar.

Aus diesem Grund verlangt das IT-Sicherheitsgesetz von KRITIS-Betreibern, dass sie ein Mindestmaß an IT-Sicherheit nachweisen und zum Schutz ihrer IT-Systeme, -Komponenten und -Prozesse angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik treffen. Auf diese Weise soll die Funktionsfähigkeit der Kritischen Infrastrukturen gewährleistet werden. Zudem sieht das Gesetz vor, dass erhebliche IT-Vorfälle, wie beispielsweise Cyber-Angriffe, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind.
 

Häufig gestellte Fragen:

Was muss ich als KRITIS-Betreiber tun?

Betreiber Kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes sind laut BSI-Kritisverordnung dazu verpflichtet,

  • eine Kontaktstelle zu benennen,
  • IT-Störungen zu melden,
  • den "Stand der Technik" umzusetzen
  • und dies alle zwei Jahre gegenüber dem BSI nachzuweisen.

Ist eine ISO 27001-Zertifizierung als Nachweis ausreichend?

Bei einer ISO 27001-Zertifizierung ist nicht automatisch der gesamte, für den Nachweis nach § 8a BSIG relevante Geltungsbereich (Scope) erfasst. Das bedeutet, dass ein ISO 27001-Zertifikat als Bestandteil eines Nachweises – nicht aber als Nachweis selbst – verwendbar ist, solange einige Rahmenbedingungen erfüllt sind. 

  • Abgrenzung Geltungsbereich: Der Geltungsbereich muss die betriebenen Anlagen nach BSI-Kritisverordnung umfassen.
  • Erweiterter Geltungsbereich: Der Geltungsbereich muss auf ausgelagerte Bereiche erweitert und eine umfassende Sicherheitsbetrachtung aus KRITIS-Sicht durchgeführt werden. 
  • Berücksichtigung der KRITIS-Schutzziele: Die KRITIS-Schutzziele der betriebsrelevanten Teile sind geeignet festzulegen, in die Risikobetrachtung mit aufzunehmen durchgängig in allen Prozessen und Maßnahmenumsetzungen zu beachten. 
  • KRITIS-IT-Schutzbedarf: Im Rahmen des Risikomanagements die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung zu bewerten.
  • Umgang mit Risiken: Es muss insbesondere das Ausmaß eines Risikos für die Allgemeinheit, d. h. die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Bei der Maßnahmenauswahl muss auf Angemessenheit geachtet werden. 
  • Maßnahmenumsetzung: Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. 

Welche Fristen gilt es zu beachten?

Bis zu den folgenden Stichtagen muss eine Re-Zertifizierung erfolgen: 

1. Korb: 03. Mai 2020

2. Korb: 30. Juni 2021

Was ist das IT-Sicherheitsgesetz?

Im Fokus des seit 2015 gültigen IT-Sicherheitsgesetzes steht der Vorsatz, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Das Gesetz zielt darauf ab, die Sicherheit von Unternehmen, Informationen und der dazugehörigen Informationstechnik in Form von Regelungen zu verbessern. Denn vor allem im Bereich der Kritischen Infrastrukturen bedeuten mögliche Ausfälle oder Beeinträchtigungen erhebliche Versorgungsengpässe oder führen zu Gefährdungen der öffentlichen Sicherheit. Daher sind Regelungen zur Verbesserung der Verfügbarkeit und Sicherheit der IT-Systeme, speziell im Bereich der Kritischen Infrastrukturen, ein zentraler Teil des IT-Sicherheitsgesetzes.

Warum wir ein starker Partner für Sie sind

Expertise

Lizenzierte und erfahrene ISMS-Auditorinnen & Auditoren: Wir können auf umfassende Erfahrungen auf dem Gebiet der ISO 27001 aus über 700 Projekten zurückblicken.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Sie haben Fragen? Wir helfen gerne!

Gerald Krebs

Global Account Manager

+49 201 8999-411
Fax : +49 201 8999-666

g.krebs@tuvit.de

Alexander Padberg

Sales Manager

+49 201 8999-614
Fax : +49 201 8999-666

a.padberg@tuvit.de

Das könnte Sie auch interessieren

ISO 27001

Als BSI zertifizierter IT-Sicherheitsdienstleister unterstützt TÜViT Unternehmen und Behörden bei der Einführung und Aufrechterhaltung eines wirksamen Informationssicherheits-Managementsystem.
Weiterlesen
ISO 27001 für die Energiewirtschaft

ISO 27001 für die Energiewirtschaft

Nachweis nach IT-Sicherheitskatalog: Wir unterstützen Netzbetreiber bei der Einführung eines Informationssicherheits-Managementsystems nach ISO 27001 unter besonderer Berücksichtigung der ISO 27019.
Weiterlesen
ISO 27001 für das Gesundheitswesen

ISO 27001 für das Gesundheitswesen

Krankenhäuser, Labore, Arzneihändler und Pharmahersteller, die zu den Kritischen Infrastrukturen (KRITIS) gehören, müssen laut BSI-Gesetz einen Nachweis über ein Mindestmaß an IT-Sicherheit erbringen.
Weiterlesen

IT-Grundschutz

Mit der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz weisen Unternehmen und Behörden nach, dass das Niveau ihrer Informationssicherheit die Anforderungen des BSI erfüllt und ganzheitlich ausgerichtet ist.
Weiterlesen

Beratung & Unterstützung zum TISAX®-Standard

TÜViT unterstützt Kunden hinsichtlich der Einführung des TISAX®-Standards der ENX Association über alle Projektphasen hinweg: Von der Erfassung des aktuellen Ist-Zustands des ISMS bis hin zur Etablierung aller relevanten Themen.
Weiterlesen

Digitale Gesundheitsanwendungen

Damit Ihre digitale Gesundheitsanwendung zur Kassenleistung werden kann, müssen Sie nachweisen, dass diese bestimmte Anforderungen an den Datenschutz und die Datensicherheit erfüllt. TÜViT unterstützt Sie bei der Nachweiserbringung.
Weiterlesen

iKFZ

IS-Kurzrevision, IS-Webcheck, IS-Penetrationstests und Sicherheitsanalyse: Wir bieten Ihnen alle vom KBA geforderten Prüfungen an, die Sie benötigen, um die Mindestsicherheitsanforderungen zu erfüllen und eine iKFZ-Zulassung zu erhalten.
Weiterlesen

Zertifizierte Videosprechstunde

Möchten Videodienstanbieter ihre Dienstleistung offiziell anbieten, müssen sie nachweisen, dass sie die Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten sowie an die Informationssicherheit erfüllen.
Weiterlesen