IT-Sicherheitsgesetz (KRITIS)

Mit dem IT-Sicherheitsgesetz (IT-SiG) sind Betreiber kommerzieller Webangebote, Telekomminikationsunternehmen und sogenannte Betreiber kritischer Infrastrukturen (KRITIS) in den Sektoren Energie, Wasser, Ernährung, Finanzen, Transport und Verkehr sowie Gesundheit künftig gesetzlich verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten.

Wer ist betroffen?

Was der Gesetzgeber im Hinblick auf den Betrieb von kritischen Infrastrukturen erwartet, klärt eine erste Rechtsverordnung, die betroffenen Organisationen in den kritischen Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung definiert.
Anfang 2017 sollen per Änderungsverordnung auch die Anlagen in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen identifizierbar werden.
Somit ist der erste Schritt, die Klärung, ob die eigene Organisation oder Teile davon als kritische Infrastruktur gelten.

Sofort handeln?

Umgehend aktiv werden sollten Betreiber kommerzieller Webangebote und Telekommunikationsunternehmen. Sie sollten bewerten, ob die bisher umgesetzten technischen und organisatorischen IT-Sicherheitsmaßnahmen (TOM) und das implementierte Informationssicherheitsmanagementsystem (ISMS) eine angemessene Absicherung nach dem gesetzlich geforderten Stand der Technik gewährleisten.
Dabei sollte analysiert werden, inwiefern sektor- oder branchenspezifische Merkmale bei der Implementierung von Sicherheitsmaßnahmen zu berücksichtigen sind oder ob bereits branchenspezifische Mindeststandards bestehen.
Sanktionen

Kommt es zu einer vorsätzlichen oder fahrlässigen Verletzung der Pflichten, kann das zu einer Geldbuße bis zu 50.000 EUR führen. Das Bußgeld umfasst auch Fälle, wo die umgesetzten Maßnahmen nicht den Stand der Technik berücksichtigen.

Wir unterstützen Sie individuell

• Wir helfen Ihnen zu bewerten, ob Sie vom Gesetzgeber als Betreiber einer Kritischen Infrastruktur (KRITIS) angesehen werden und welche Anforderungen des IT-Sicherheitsgesetzes Sie erfüllen müssen.
• Wir zeigen Ihnen, wie Sie ein flexibles und schlankes ISMS erfolgreich planen, aufbauen und betreiben oder Ihr bestehendes ISMS hinsichtlich der Anforderungen aus dem IT-Sicherheitsgesetzes erweitern können.
• Wir unterstützen Sie bei der Entwicklung von (branchenspezifischen) Mindeststandards und der Kommunikation mit dem BSI.
• Sie erhalten von uns die wesentlichen Informationen zum zügigen Erreichen des Standes der Technik.
• Wir unterstützen Sie bei der Gestaltung erforderlicher Prozesse zur zeitnahen Erkennung und Meldung von Informationssicherheitsvorfällen.
• Wir stellen Ihnen einen erfahrenen Informationssicherheitsbeauftragten, der Sie bei der Umsetzung Ihres Informationssicherheitsmanagementprozesses unterstützt.
• Wir unterstützen Sie bei der Analyse und Bearbeitung von IT-Sicherheitsvorfällen.