Referentenentwurf der KRITIS-Verordnung

Das Bundesministerium des Innern (BMI) hat einen ersten Entwurf der Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen (KRITIS) veröffentlicht.

https://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2016/02/referentenentwurf-kritis-vo.html

Der Entwurf umfasst im derzeitigen Stand die Sektoren Energie, Wasser, Ernährung und Informationstechnik und Telekommunikation.

Der Entwurf enthält die zur Einschätzung als KRITIS notwendigen Schwellenwerte in übersichtlicher Tabellenform und kann bereits als Grundlage für eine erste grobe Einschätzung und Einordnung eines Unternehmens zur kritischen Infrastruktur verwendet werden.

IT-Sicherheitsgesetz (IT-SiG) – und jetzt?

Am 25. Juli 2015 trat das neue IT-Sicherheitsgesetz in Kraft.

Dort wird von Betreibern der sogenannten „kritischen Infrastrukturen“ (KRITIS) die Einhaltung und Umsetzung von branchenspezifischen IT-Sicherheitsstandards verlangt. Erhebliche Störungen im Bereich der KRITIS sind dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Was sind KRITIS?

Als kritische Infrastrukturen werden die folgenden Bereiche angesehen:

  • Energie (Strom, Gas, Öl)
  • Ernährung
  • Finanz- und Versicherungswesen
  • Gesundheit
  • Informationstechnik und Telekommunikation
  • Medien und Kultur
  • Staat und Verwaltung
  • Transport und Verkehr
  • Wasser

Ein Ausfall oder eine Beeinträchtigung in einem dieser Bereiche könnte zur Störung der öffentlichen Sicherheit, Versorgungsengpässen oder anderen dramatischen Folgen führen.

Welche Unternehmen sind laut Gesetz betroffen?

Hierzu wird es eine Rechtsverordnung geben, die Schwellenwerte festlegt. Abhängig von diesen Schwellenwerten werden Unternehmen als Teil der KRITIS eingestuft. Die Prüfung, ob ein Unternehmen diese Schwellenwerte erreicht oder nicht, wird mit Bekanntgabe der Rechtsverordnung von den betroffenen Unternehmen selbst durchgeführt.

Laut BSI ist von insgesamt nicht mehr als 2.000 Betreibern von kritischen Infrastrukturen in den regulierten Sektoren auszugehen.

Welche Sonderrolle spielen Energieversorger?

Für Energieversorger (Strom, Gas) wurde schon 2011 im Energiewirtschaftsgesetz (EnWG) festgelegt, dass diese einem IT-Sicherheitskatalog unterliegen. Dieser Katalog wurde im August 2015 von der Bundesnetzagentur (BNetzA) veröffentlicht und sieht die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 vor.

Dabei sind alle Betreiber von Strom- und Gasnetzen betroffen – unabhängig von ihrer Größe oder der Anzahl der Kunden. Es existiert also kein Schwellenwert, ab dem die Unternehmen ein ISMS einführen müssen.

Ist mein Unternehmen betroffen?

Um diese Frage zu beantworten, muss erst einmal geprüft werden, wie die Antworten zu folgenden Fragen im Bezug auf die unternehmenseigene IT lauten:

  • Hätte der Ausfall weitreichende gesellschaftliche Folgen?
  • Würde es Versorgungsengpässe geben?
  • Wäre die öffentliche Sicherheit gefährdet?
  • Hätte ein Ausfall für andere Systeme Auswirkungen? (Interdependenzen)

Wenn eine oder mehrere dieser Fragen mit „Ja“ beantwortet werden, könnte es sich bei Ihrem Unternehmen um den Betreiber von KRITIS im Sinne des IT-SiG handeln.

Was kann ich tun?

Um sich bereits im Vorfeld (vor der Veröffentlichung der eigentlichen Rechtsverordnung) einen Überblick und die notwendige Sicherheit zu verschaffen, empfehlen wir eine Vorabkontrolle. Im Rahmen dieser Vorabkontrolle können bereits wesentliche Teile erfasst und auf Konformität zum aktuellen Stand der IT-Sicherheitstechnik (ISO 27001, IT-Grundschutz, IT-SiG, EnWG, IT-Sicherheitskatalog) geprüft werden.

Eine von uns durchgeführte Vorabkontrolle umfasst üblicherweise die folgenden Aufgaben:

  • Interviews
  • Dokumentenprüfung
  • Analyse von aktuellen Prozessen und umgesetzten Maßnahmen zur Informationssicherheit
  • Vor-Ort-Begehung relevanter Standorte (Leitstellen, Produktionsanlagen,…)
  • Bewertung der Konformität

Aus der Vorabkontrolle können wir dann entsprechende Handlungsempfehlungen ableiten, die Sie bei der Einführung und Umsetzung eines ISMS unterstützen.

Weiterführende Links

Informationen des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) zum Thema „KRITIS“

Willkommen

Willkommen beim Blog von Thater & Schwier Consulting.

In diesem Blog werden wir in unregelmäßigen Abständen Informationen und Neuigkeiten aus dem Bereich IT-Sicherheit veröffentlichen.

Viel Spaß beim Lesen!

Bitte zögern Sie nicht, bei Fragen Kontakt mit uns aufzunehmen.