KRITIS – Ist mein Unternehmen betroffen und was heißt das?
Früher konnte jeder Betreiber selber festlegen, ob er eine kritische Dienstleistung erbringt oder nicht. Mit der KRITIS-Verordnung (PDF) und dem IT-Sicherheitsgesetz wird versucht, eine einheitliche Basis zu schaffen, um
- einen Überblick über die aktuelle Lage von kritischen Infrastrukturen zu bekommen,
- schnell auf Probleme reagieren zu können,
- die Cyber-Sicherheitsstrategie des Bundes zu unterstützen und
- die NIS-Richtlinie zu erfüllen.
Was eine kritische Infrastruktur ist, wird vom BMI (Bundesministerium des Inneren) festgelegt und über Kriterien mit dem KRITIS-V-Gesetz geregelt. Die IT in diesem Fall wird über das IT-Sicherheitsgesetz unter der Schirmherrschaft des BSI abgedeckt.
Ist mein Unternehmen betroffen?
Das ist oft nicht leicht zu beantworten. So ergeben sich zum Beispiel Fragen wie:
- Welcher Sektor und welche Branche ist relevant?
Sektoren |
Branchen |
---|---|
Energie |
|
Gesundheit |
|
Staat und Verwaltung |
|
Ernährung |
|
Transport und Verkehr |
|
Finanz- und Versicherungswesen |
|
Informationstechnik und Telekommunikation |
|
Medien und Kultur |
|
Wasser |
|
- Werden die definierten Schwellwerte (z.B. 500.000 Einwohner, die beliefert werden) überschritten?
- Wird eine kritische Infrastruktur als Dienstleister beliefert?
- …
Wenn man betroffen ist – was heißt das jetzt konkret?
Sollte man betroffen oder unschlüssig sein, muss man sich beim BSI als Betreiber einer kritischen Infrastruktur registrieren. Dort wird nochmals überprüft, ob das zutrifft. Falls dem so ist, unterliegt man der Meldepflicht, sprich es müssen alle schwerwiegenden sicherheitsrelevanten Vorfälle (z.B. Systemausfälle), die die kritische Infrastruktur betreffen, umgehend über ein spezielles Meldeformular gemeldet werden. Die Meldepflicht gilt seit dem Inkrafttreten der BSI-KRITIS-Verordnung am 3. Mai 2016. Die Schwachstelle ist dann nach dem Stand der Technik zu beheben.
Ebenfalls zu implementieren ist eine Kontrollstelle, die als Ansprechpartner für das BSI fungieren soll (24/7).
Die Nachweispflicht besteht alle zwei Jahre, d.h. alle zwei Jahre muss eine Überprüfung durch eine geeignete Prüfungsstelle (§8) stattfinden, erstmalig im Mai 2018 (zwei Jahre nach Inkrafttreten des Gesetzes). Das Ergebnis muss gemeldet werden und bei Auffälligkeiten kann das BSI einen Bericht verlangen.
Die Prüfung kann auf Basis mehrerer Standards bzw. Leitfäden (z.B. B3S, OH B3S, …) erfolgen, die je nach Sektor oder Branche unterschiedlich ausgeprägt sein können.
Kurzübersicht BSI:
Quelle: BSI
Hinführung des BSI: https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/Was_tun/was_tun_node.html
Wo finde ich weitere Informationen?
Sehen Sie immer mal wieder auf unserer Seite vorbei. Bzgl. KRITIS ist noch alles im Aufbau und wir versuchen, immer die aktuellen Gegebenheiten zu veröffentlichen. Für weitere Rückfragen stehen wir Ihnen gerne zur Verfügung.
Unser Experte: Dr. Klaus-Dieter Krause, Klaus.D.Krause@compliance-net.com