Mit der Ende Juni 2017 in Kraft getretenen Änderung der KRITIS-Verordnung wird jetzt für alle KRITIS-Sektoren klar geregelt, inwiefern sie unter die Vorgaben des IT-Sicherheitsgesetzes fallen. KRITIS steht für „Kritische Infrastrukturen“ und beschreibt Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Beeinträchtigungen Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.

Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden.

Bislang existierte die Festlegung für die Sektoren Energie, Informationstechnik & Telekommunikation und Wasser & Ernährung (sog. „1. Korb“). Jetzt wurden die Kriterien für Gesundheit, Finanz- & Versicherungswesen und Transport & Verkehr („2. Korb“) bestimmt und das IT-Sicherheitsgesetz somit final umgesetzt. Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen, so gelten zum Beispiel

  • Fallzahlen von 30.000 vollstationären Patienten pro Jahr bei Krankenhäusern,
  • ca. 4.7 Mio abgebenen Packungen (verschreibungspflichtig) im Jahr bei Apotheken
  • 1.5 Mio Aufträge bei Laboren
  • als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift.

Bei Transport & Verkehr fallen Flüghäfen ab 20Mio Passagieren, große Bahnhöfe, Leitsysteme der Bundesautobahnen und Netze des ÖPNV ab 125Mio Fahrgästen (bzw. 500.000 Einwohnern im Einzugsgebiet) unter die Regelungen des Gesetzes. Alle Unternewhmen und Organisationen, die vom IT-Sicherheitsgesetz betroffen sind, sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) umzusetzen und nachzuweisen. Gemäß der Erfahrungen aus den anderen Sektoren des ersten Korbs empfehlen wir, sich am Standard ISO 27001 zu orientieren unter Berücksichtigung der BSI-Standards und IT-Grundschutzkataloge. Die Vorgehensweise zur ISMS-Einführung wird in unserer

erklärt. Ergänzend dazu unterstützen wir in einer Reihe von projektbegleitenden Workshops bei der Implementierung des ISMS bis zur Zertifizierungsreife bzw. zum Auditbericht für das BSI, um die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen:

Workshopreihe

zur Unterstützung bei der ISMS-Einführung  
Details

Die Termine können dabei individuell auf die Ziele der ISMS-Einführung abgestimmt werden, abhängig von der Verfügbarkeit eigener Ressourcen. Ein Projektplan wird nach Klärung der Zielsetzung gemeinsam erstellt.

Wir unterstützen auch im Rahmen eines vollständigen Beratungsprojekts bei der Bearbeitung aller zur ISO27001-Zertifizierung erforderlichen Schritte:

ISMS auf Basis ISO27001

Fordern Sie unser Angebot an!
Online-Checkliste

 

INTERESSIERT? NEUGIERIG? ÜBERZEUGT?

Nehmen Sie jetzt Kontakt zu uns auf, wir melden uns umgehend, um Ihnen ein individuelles und unverbindliches Angebot zu unterbreiten.

[contact-form-7]