§8a BSIG - entdeckt, erklärt
Als Betreiber Kritischer Infrastrukturen (KRITIS) müssen Sie gemäß §8a des BSI-Gesetzes alle 2 Jahre belegen, dass Ihre IT-Sicherheit auf dem Stand der Technik ist. Der Nachweis erfolgt dabei laut BSI-Kritisverordnung (BSI-KritisV) durch eine entsprechende Prüfung nach §8a BSIG.
Individuelles Angebot anfordernAls Kritische Infrastrukturen (KRITIS) werden Organisationen und Einrichtungen bezeichnet, die sich entscheidend auf das staatliche Gemeinwesen auswirken. Das umfasst die folgenden Sektoren:
Staat und Verwaltung
Fallen diese Kritischen Infrastrukturen aus oder werden beeinträchtigt, ist mit nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen zu rechnen. Fehlen beispielsweise Strom und Gas können wichtige Leistungen nicht mehr erbracht werden und ohne eine kontinuierliche Versorgung mit Lebensmitteln und Trinkwasser ist das Leben kaum vorstellbar.
Aus diesem Grund verlangt das IT-Sicherheitsgesetz von KRITIS-Betreibern, dass sie ein Mindestmaß an IT-Sicherheit nachweisen und zum Schutz ihrer IT-Systeme, -Komponenten und -Prozesse angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik treffen. Auf diese Weise soll die Funktionsfähigkeit der Kritischen Infrastrukturen gewährleistet werden. Zudem sieht das Gesetz vor, dass erhebliche IT-Vorfälle, wie beispielsweise Cyber-Angriffe, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind.
Mit uns erbringen Sie den geforderten Nachweis: Wir prüfen Ihre IT-Sicherheit nach den Anforderungen des IT-Sicherheitsgesetzes und begutachten, ob Sie in Bezug auf Ihre IT-Systeme, -Prozesse und -Komponenten angemessene Vorkehrungen nach dem Stand der Technik getroffen haben.
Als zertifizierter IT-Sicherheitsdienstleister erfüllen wir die Voraussetzungen des BSI als prüfende Stelle für §8a BSIG - Prüfungen von Kritischen Infrastrukturen und verfügen über die entsprechende Prüfverfahrenskompetenz. Darüber hinaus prüfen wir auch nach branchenspezifischen Sicherheitsstandards (B3S).
BSI-konformer Nachweis über IT-Sicherheit
Sie erhalten einen objektiven Nachweis über die Erfüllung der Anforderungen aus dem IT-Sicherheitsgesetz.
Rechtssicherheit durch Erfüllung gesetzlicher Auflagen
Mit der Einhaltung der Vorgaben des IT-SIG kommen Sie den gesetzlichen Verpflichtungen ordnungsgemäß nach.
Verbesserte IT-Sicherheit nach Stand der Technik
Durch die Absicherung nach Stand der Technik erhöhen Sie die Sicherheit Ihrer IT-Systeme, Prozesse & Komponenten.
Verhinderung von Geldbußen
Durch die Umsetzung der Anforderungen minimieren Sie das Risiko von hohen Geldbußen in Folge von Verstößen.
Höhere Versorgungssicherheit
Indem Sie das Mindestmaß an IT-Sicherheit umsetzen, verbessern Sie gleichzeitig die Versorgungssicherheit Ihrer kritischen Infrastruktur.
Sensibilisierung Ihrer Mitarbeitenden
Eine KRITIS-Prüfung stärkt das Bewusstsein Ihrer Mitarbeitenden für IT-Sicherheitsthemen & neue Gefahren.
Betreiber Kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes sind laut BSI-Kritisverordnung dazu verpflichtet,
Bei einer ISO 27001-Zertifizierung ist nicht automatisch der gesamte, für den Nachweis nach § 8a BSIG relevante Geltungsbereich (Scope) erfasst. Das bedeutet, dass ein ISO 27001-Zertifikat als Bestandteil eines Nachweises – nicht aber als Nachweis selbst – verwendbar ist, solange einige Rahmenbedingungen erfüllt sind.
Der Nachweis ist nach §8a BSIG regelmäßig alle zwei Jahre zu erbringen. Die Frist zur Erbringung eines Folgenachweises errechnet sich anhand des Schreibens des BSI, das jedes Unternehmen als Antwort auf die Einsendung der Nachweisdokumente erhält.
Im Fokus des seit 2015 gültigen IT-Sicherheitsgesetzes steht der Vorsatz, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Das Gesetz zielt darauf ab, die Sicherheit von Unternehmen, Informationen und der dazugehörigen Informationstechnik in Form von Regelungen zu verbessern. Denn vor allem im Bereich der Kritischen Infrastrukturen bedeuten mögliche Ausfälle oder Beeinträchtigungen erhebliche Versorgungsengpässe oder führen zu Gefährdungen der öffentlichen Sicherheit. Daher sind Regelungen zur Verbesserung der Verfügbarkeit und Sicherheit der IT-Systeme, speziell im Bereich der Kritischen Infrastrukturen, ein zentraler Teil des IT-Sicherheitsgesetzes.