Kritische
Infrastrukturen
NIS2, KRITIS, BSI Gesetz
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen.
Bis zum 17. Oktober 2024 hat der Gesetzgeber Zeit die Vorgaben der NIS2-Richtlinie in nationales Recht umzusetzen. Die Umsetzung erfolgt über das NIS2UmsuCG, auch bekannt als IT-Sicherheitsgesetz 3.0. Dabei wird nicht nur der Geltungsbereich deutlich erweitert, sondern es werden auch neue Anforderungen an Unternehmen gestellt.
NIS 2 Umsetzung in Zahlen
01
Technisch, organisatorisch & juristisch
Wir stellen für Sie ein KRITS Team mit den Expert:innen zusammen, die Sie benötigen. Dies beinhaltet auch die Beratung zur konkreten technischen Umsetzung und auf Wunsch auch deren Prüfung durch einen Pentest.
Zertifizierte
Berater:inneninnen
Wir setzen ausschließlich zertifizierte Mitarbeiter:innen mit entsprechender Erfahrung ein. Unsere Expert:innen verfügen über eine nachgewiesene Prüfverfahrenskompetenz für §8a BSIG.
Berücksichtig internationaler Normen
Bei der KRITIS Beratung berücksichtigen wir immer internationale Normen wie die ISO 27001 oder 22301. Oftmals lassen sich die Normen innerhalb eines KRITIS-Projektes gleich mit umsetzen.
Effiziente
Durchführung
Durch unsere jahrelange Erfahrung sind wir in der Lage kleine und große Projekte sehr effizient und in kurzer Zeit durchzuführen. Unsere Beratung zeichnet sich durch einen hohen Praxisbezug aus und basiert auf Best-Practices.
KRITIS Beratung
02
Maßnahmen für Unternehmen
Auf Unternehmen kommen zukünftig mehr umzusetzende Maßnahmen zu. Dabei sollen internationale Normen und Standards berücksichtigt werden. Die Maßnahmen müssen dabei folgende Themen berücksichtigen:
- Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
- Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
- Sicherheit in der Entwicklung, Beschaffung und Wartung
- Management von Schwachstellen
- Bewertung der Effektivität von Cybersicherheit und Risiko-Management
- Schulungen Cybersicherheit und Cyberhygiene
- Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Anlagen-Management
- Multi-Faktor Authentisierung und kontinuierliche Authentisierung
- Sichere Kommunikation (Sprach, Video- und Text)
- Sichere Notfallkommunikation
What we do
KRITIS von Anfang an
Wir begleiten Sie von Anfang an bei allen Fragen zur KRITIS-Umsetzung. Nutzen Sie unsere Erfahrung in vielen KRITIS-Sektoren und aus der Begleitung zahlreicher KRITIS-Projekte.
Die Umsetzung der KRITIS-Anforderungen sollte niemals isoliert betrachtet werden. Vielmehr sollten sich die Maßnahmen in die betrieblichen Prozesse integrieren. Ein ISMS, sofern es vorhanden ist, unterstützt ein KRITIS-Projekt und die Umsetzung der Maßnahmen.
Wir beraten Sie mit Best-Practice-Ansätzen von der Frage, ob Sie von der KRITIS-Regulierung betroffen sind, über die Einrichtung einer Meldestelle bis hin zu erfolgreichen Nachweisführung.
Der erste Schritt sollte die Feststellung der Betroffenheit Ihres Unternehmens sein. Daraus ergibt sich auch, ob Sie als besonders wichtige Einrichtung gelten oder als Betreiber einer kritischen Anlage.
Wenn die Betroffenheit festgestellt wurde, ist der nächste Schritt eine Reifegradermittlung um den aktuellen Umsetzungsstand festzustellen. Aus der Reifegradermittlung ergibt sich bereits ein grober Umsetzungs- und Projektplan.
Weitere Informationen zur Reifegradermittlung.
Wir beraten Sie bei der gesamten Umsetzungsphase. Dabei geht es um die Etablierung wirtschaftlicher und wirksamer Prozesse wie auch um konkrete technische oder juristische Fragestellungen. Wir stellen Ihnen ein passendes Team mit Experten und Expertinnen zusammen.
Die Umsetzung der Anforderungen setzt ein gewisses Fachwissen in Ihren Teams voraus. Wir schulen zielgruppengenau Ihre Teams und Fachbereiche.
Wenn eine Nachweisführung notwendig ist, muss diese entsprechend vorbereitet werden. Die Nachweisführung nach § 8a BSIG kann mit weiteren Prüfungen wie einer ISO Zertifizierung zusammengelegt werden. Wir helfen Ihnen auch bei der Auswahl einer zugelassenen prüfenden Stelle.
Hersteller- & Produktneutral
Unsere Berater:innen verfügen über jahrelange Erfahrung in der Beratung und Umsetzung von KRITIS-Projekten. Wir weisen dabei auch gerne entsprechende Erfahrung in den KRITIS-Sektoren nach. Unsere Berater:innen sind natürlich zertifiziert und geprüft.
- ISO 27001 Lead Implementer
- ISO 27001 Lead Auditor
- Prüfverfahrenskompetenz nach
§ 8a BSIG
Wichtige Fragen
03
und noch wichtigere Antworten
Wir haben die typischen Fragen, die uns im Rahmen der KRITIS Beratung erreichen, zusammengestellt und hier beantwortet.
Eine ISO 27001 Zertifizierung ist für Betreiber Kritischer Infrastrukturen (KRITIS) nicht zwingend vorgeschrieben, aber sie kann als Teil des Nachweises gemäß § 8a Absatz 3 BSIG dienen. Die Zertifizierung kann auf die bisher ungeprüften Teile des Geltungsbereichs ausgeweitet werden, um die KRITIS-Schutzziele zu ergänzen. Es ist jedoch wichtig, dass die spezifischen Anforderungen der KRITIS-Verordnung erfüllt werden, was über die ISO 27001 hinausgehen kann. Daher sollte eine umfassende Prüfung und Bewertung des Schutz- und Sicherheitsniveaus der IT-Infrastruktur erfolgen.
Hierzu hat das BSI eine Infoseite veröffentlicht.
Die NIS2-Richtlinien entfaltet in den Mitgliedsstaaten keine direkte Wirkung. Eine Richtlinie muss entgegen einer Verordnung erst in nationales Recht umgesetzt werden. Dies ist in Deutschland über die IT-Sicherheitsgesetze erfolgt. Die konkreten Vorgaben finden sich dabei im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG). Die Verordnung definiert dabei die Schwellwerte, also wann ein Unternehmen als Betreiber einer kritischen Dienstleistung gilt.
Systeme zur Angriffserkennung sind ein wesentlicher Bestandteil der Sicherheitsinfrastruktur für Kritische Infrastrukturen (KRITIS). Sie ermöglichen es, Angriffe frühzeitig zu erkennen und entsprechende Gegenmaßnahmen einzuleiten. Gemäß § 8a Absatz 1a BSIG sind Betreiber von KRITIS verpflichtet, solche Systeme einzusetzen. Die Anforderungen an diese Systeme sind hoch, da sie geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich erfassen und auswerten müssen, um Bedrohungen zu identifizieren und zu verhindern.
Gemäß § 8a Absatz 3 des BSIG müssen Betreiber Kritischer Infrastrukturen alle zwei Jahre einen Nachweis über ihre Sicherheitsvorkehrungen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erbringen. Diese Regelung soll sicherstellen, dass die kritischen Infrastrukturen auf dem neuesten Stand der Technik sind und Störungen vermieden werden. Für die Einreichung der Nachweisdokumente bietet das BSI detaillierte Orientierungshilfen an.
Die Prüfung nach §8a darf von sogenannten prüfenden Stellen durchgeführt werden.
Eine prüfende Stelle für Nachweise gemäß § 8a Absatz 3 BSIG ist eine geeignete Institution, die vom KRITIS-Betreiber beauftragt wird, festzustellen, ob der KRITIS-Betreiber angemessene Vorkehrungen gemäß § 8a Absatz 1 BSIG getroffen hat.
Die genauen Anforderungen an prüfendende Stellen hat das BSI zusammengestellt.
Unsere Mitarbeiter:innen verfügen über die notwendige Prüfverfahrenskompetenz nach §8a BSIG. Wenn wir beratend Tätig sind, dürfen wir allerdings die Nachweisführung nicht durchführen. Aber wir helfen Innen gerne bei der Auswahl einer geeigneten prüfenden Stelle.
Sie möchten mehr Informationen oder haben
WEITERE Fragen?
Nutzen Sie unsere kostenlose Hotline,
oder senden Sie uns einfach eine E-Mail.
Fachartikel Informationssicherheit
04
Bleiben Sie mit unseren Fachartikel zum Thema Informationssicherheit auf dem Laufenden.