Hamburg: Seit Juli 2017 gehören die Sektoren Transport, Gesundheit, Verkehr, Finanzen und Versicherungen zu den kritischen Infrastrukturen (KRITIS). Auch für sie gilt seitdem das geänderte IT-Sicherheitsgesetz und die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI). Mit dieser Gesetzesänderung kommen umfassende Herausforderungen auf die neuen KRITIS-Bereiche und ihre Dienstleister zu. Tatjana Brozat, Referentin der TÜV NORD Akademie, erklärt, was zu beachten ist.
Eine Apotheke mit einem Vertrieb von 4,65 Millionen Packungen, ein Krankenhaus mit über 30.000 stationären Fällen oder eine Versicherung mit gut 122 Milliarden Euro Umsatz pro Jahr – mittlerweile gehören auch diese Unternehmen zu den sogenannten Kritischen Infrastrukturen (KRITIS). Es handelt sich dabei um Anlagen oder Systeme, die unverzichtbar sind, um wichtige gesellschaftliche Funktionen aufrechtzuerhalten. Sie unterliegen dem IT-Sicherheitsgesetz. Betriebe sind verpflichtet eigenständig zu prüfen, ob sie dazu zählen. Auch die Dienstleister der KRITIS-Sektoren betrifft die neue Gesetzgebung. Sie müssen die neuen Anforderungen ebenfalls umsetzen.
„Ist ein Unternehmen betroffen, muss das Management zunächst grundlegende Entscheidungen im Bereich der IT-Sicherheit treffen“, so Brozat, die auch als Lead Auditorin nach ISO 27001 tätig ist. Dazu gehört unter anderem, einen geeigneten und geschulten Informationssicherheitsbeauftragten zu benennen. „Viele Unternehmen setzen auf eigene IT-Sicherheitsbeauftragte, weil Interne einen besseren Überblick haben und bei Kolleginnen und Kollegen anerkannter sind“, erklärt die Expertin. Darüber hinaus muss der Betreiber ein Informationssicherheitsmanagementsystem (ISMS) implementieren. Es beinhaltet feste Abläufe und Strukturen, die mögliche Störungen der IT frühzeitig erkennen.
KRITIS-Unternehmen müssen nach dem IT-Sicherheitsgesetz außerdem folgende Maßnahmen umsetzen:
- Kontaktstelle benennen: Der Betreiber einer KRITIS ist verpflichtet, dem BSI eine Kontaktstelle oder Kontaktperson zu nennen, die für sämtliche Belange der IT-Sicherheit zuständig und für das BSI jederzeit erreichbar ist. Die Benennung muss bis Ende dieses Jahres erfolgen. Unternehmen ohne eine fachlich versierte Kontaktperson müssen entweder eine Mitarbeiterin oder einen Mitarbeiter entsprechend fortbilden lassen oder jemanden mit den nötigen Kenntnissen neu einstellen.
- IT-Störungen melden: Für Betreiber Kritischer Infrastrukturen gilt eine Meldepflicht an das BSI. Die Kontaktperson muss demnach einschätzen und entscheiden können, welche Vorfälle gravierend und somit meldepflichtig sind.
- Stand der Technik umsetzen: KRITIS-Unternehmen sind verpflichtet, den IT-Sicherheitsstandard technisch aktuell zu halten. Das beugt Störungen der informationstechnischen Systeme vor. Der Betreiber muss dem BSI spätestens zwei Jahre nach Einführung der Rechtsverordnung einen entsprechenden Beleg vorlegen.
Fortbildungen zum Information Security Officer (ISO), Chief Information Security Officer (CISO) oder BSI IT-Grundschutz Experten bietet beispielsweise die TÜV NORD Akademie regelmäßig an.
Weitere Informationen und Anmeldung zu den Seminaren unter www.tuev-nord.de/weiterbildung/Informationsmanagement
Mehr Informationen zum Schutz Kritischer Infrastrukturen: www.kritis.bund.de
Über die TÜV NORD GROUP
Als anerkannter Technologie-Dienstleister stehen wir weltweit für Sicherheit und Vertrauen. Dabei haben wir die digitale Zukunft fest im Blick. Unabhängige Ingenieure und IT-Security-Fachleute bieten exzellente Lösungen für Sicherheit, Qualität und eine hervorragende Position im Wettbewerb. In mehr als 70 Ländern stärken wir Unternehmen und Partner bei der Wahrnehmung ihrer Verantwortung für Menschen, Technologie und Umwelt.