KRITIS: Was für Unternehmen der Abfallwirtschaft nun zu tun ist

Als Betreiber einer Kritischen Infrastruktur müssen Sie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Kontaktstelle benennen, über die Sie rund um die Uhr (24/7) erreichbar sind. Zu diesem Zweck bietet es sich an, ein Funktionspostfach anzugeben, auf das mehrere Mitarbeitende Zugriff haben, sodass eine stetige Erreichbarkeit gewährleistet ist. Zudem erhalten Sie über die angegebene Adresse auch IT-Sicherheitsinformationen durch das BSI. 

Alle notwendigen Formulare zur Registrierung Ihrer Kontaktstelle finden Sie im Melde- und Informationsportal des BSI. 

Wenn Sie Ihre Kontaktstelle beim BSI registriert haben, erhalten Sie auf postalischem Wege umfangreiche Informationen, unter anderem zur Meldepflicht von Störungen. Gemeldet werden müssen laut § 8b (4) BSIG:

1.) Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen geführt haben, und

2.) erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen führen können.

Ziel der Meldepflicht ist es, IT-Störungen organisationsübergreifend zu verhindern oder ihre Auswirkungen abzumildern. Aus diesem Grund sammelt das BSI gezielt Informationen zu entsprechenden Vorfällen, die es dann an andere KRITIS-Betreiber weitergeben und diese vor bestimmten Schwachstellen proaktiv warnen kann.

Als Betreiber einer Kritischen Infrastruktur sind Sie laut BSI-Gesetz dazu verpflichtet, zum Schutz Ihrer IT-Systeme, -Komponenten und -Prozesse angemessene organisatorische und technische Vorkehrungen nach dem "Stand der Technik" zu treffen. Die Umsetzung dieser ist alle 2 Jahre gegenüber dem BSI nachzuweisen. 

Wir unterstützen Sie dabei, die gegebenen Anforderungen umzusetzen und den entsprechenden Nachweis zu erbringen. Von Workshops über Gap-Analysen bis hin zu Prüfungen bieten wir Ihnen ein Rundum-Paket an, mit dem Sie die gesetzlichen Forderungen erfolgreich erfüllen. 
 

Der Referentenentwurf des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) sieht vor, dass in Bezug auf Kritische Infrastrukturen nur noch Komponenten verbaut werden dürfen, die über ein BSI-Sicherheitskennzeichen verfügen. Das heißt, Hersteller von Komponenten, die im KRITIS-Bereich zum Einsatz kommen, müssen in Zukunft die Vertrauenswürdigkeit ihrer gesamten Lieferkette sicherstellen und eine entsprechende Vertrauenswürdigkeitserklärung abgeben. Auf diese Weise soll gewährleistet werden, dass die verbauten KRITIS-Kernkomponenten durch das BSI definierte Mindeststandards erfüllen.

Als KRITIS-Betreiber müssen Sie daher darauf achten, dass Sie Kernkomponenten nur von Herstellern beziehen, die vorher eine Erklärung über ihre Vertrauenswürdigkeit abgegeben haben. 

Laut Referentenentwurf des IT-SiG 2.0 müssen Sie als KRITIS-Betreiber in Zukunft Systeme zur Angriffserkennung umsetzen, die Sie bei einem Sicherheitsvorfall automatisch und in Echtzeit alarmieren. Konkrete Vorgaben, wie solche Systeme auszusehen haben und angewendet werden sollen, legt das BSI fest.