Was sind Kritische Infrastrukturen?
Im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) sind Kritische Infrastrukturen als Einrichtungen, Anlagen oder Teile davon definiert, die den folgenden Sektoren angehören:
Diese sind von hoher Bedeutung für das Funktionieren des Gemeinwesens, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Umsetzung der Anforderungen – was ist zu tun?
Eine wichtige Maßnahme mit hoher Komplexität zur Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz sind der Aufbau eines Risiko- und Krisenmanagements sowie die Planung, Etablierung, Aufrechterhaltung und ständige Verbesserung eines Information Security Management Systems (ISMS) nach dem internationalen Informationssicherheits-Standard ISO 27001.
Nach der Umsetzung der dafür erforderlichen technischen und organisatorischen Maßnahmen, wie z. B. Etablierung von Notfallmanagement- und Security Incident Prozessen oder der Besetzung der Rollen des Information Security Managers sowie Notfall- und Krisenmanagers kann nach Erreichen des geforderten Umsetzungsgrads der Maßnahmen die Zertifizierung nach ISO 27001 in Angriff genommen werden. Die erfolgreiche Zertifizierung ist der entscheidende Meilenstein bei der Umsetzung der Anforderungen des IT-Sicherheitsgesetzes und ein wirksamer Beitrag zur Abwehr von Cyberangriffen gegen die Kritischen Infrastrukturen.
Welche Anforderungen stellt das IT-Sicherheitsgesetz?
Unternehmen, die zu den Kritischen Infrastrukturen gehören (sog. KRITIS-Unternehmen), sind durch das IT-Sicherheitsgesetz verpflichtet, bestimmte Mindest-Sicherheitsstandards für ihre IT-Infrastrukturen einzuhalten. Der durch das neue IT-Sicherheitsgesetz im BSI-Gesetz (BSIG) neu hinzu gekommene Paragraph 8a legt fest, dass Betreiber Kritischer Infrastrukturen verpflichtet sind, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.
Darüber hinaus haben die Betreiber Kritischer Infrastrukturen mindestens alle zwei Jahre die Erfüllung der Anforderungen, wie oben dargestellt, auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.
Des Weiteren ist nunmehr gesetzlich festgelegt, dass IT-Sicherheitsvorfälle meldepflichtig sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik. Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, unverzüglich an das Bundesamt zu melden.