Artikel

Regulatorische Anforderungen erfordern kurzfristiges Handeln

19.01.2017

Durch das IT-Sicherheitsgesetz, dass die Grundlage für eine nachhaltige und kontinuierliche Verbesserung der IT-Sicherheit schafft, entsteht ein Erfüllungsaufwand für alle KRITIS-Betreiber für

  • die Einhaltung eines Mindestniveaus an IT-Sicherheit,
  • den Nachweis der Erfüllung durch Sicherheitsaudits,
  • die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI sowie das Betreiben einer Kontaktstelle.

Betreibern von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur im Sinne des BSI-Gesetzes eingestuft wurden, entsteht außerdem Erfüllungsaufwand für die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfällen an das BSI. Der Rahmen für spezifische organisatorische und technische Maßnahmen, die für einen bestimmten Wirtschaftssektor gelten (z.B. für die Prozessleittechnik in den Sektoren Energie, Wasser und Transport und Verkehr), wird ebenfalls sukzessive innerhalb der Normenfamilie ISO/IEC 270xx (hier mit der Norm ISO/IEC TR 27019:2013-07) gesetzt.

Die BSI-Standards 100-1 – 100-4 auf Basis IT-Grundschutz sowie das Umsetzungsrahmenwerk zum Notfallmanagement (nach BSI-Standard 100-4) stellen den Prozess zum Aufbau eines ISMS branchenunabhängig dar.

Der BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise verfolgt wie die ISO/IEC 27002:2013 das Ziel, die relevanten organisatorischen und technischen Maßnahmen zur beschreiben, mit denen ein ISMS in der Praxis aufgebaut und betrieben werden kann. Die Umsetzung der Anforderungen an das ISMS geschieht (in der ISO/IEC 27002:2013) anhand von 114 Controls (z.B. Organisation, Zugriffskontrolle, Betriebssicherheit, Sicherheit in der Kommunikation etc.). Es ist damit zu rechnen, dass der Gesetzgeber auch für KRITIS-Betreiber aus den anderen Wirtschaftssektoren Ähnliches vorsehen wird. Bisher ist der Aufbau eines Informationssicherheits-Managementsystems (ISMS) explizit im IT-Sicherheitskatalog der Bundesnetzagentur (siehe auch die Novellierung des EnWG § 11 Abs. a) – c)) vorgesehen.

IT-Sicherheitsrisiko steigt

 

Die Bedrohung der IT-Sicherheit in den Unternehmen durch gezielte Cyber-Attacken, z.B. mittels Malware, hat in den letzten fünf Jahren weltweit massiv zugenommen. In den Medien, den Jahresberichten des BSI und in internationalen Studien wurde darüber berichtet. Einige Attacken (z.B. „Flame“, „Stuxnet“) haben zu großen Schäden bei den angegriffenen Unternehmen geführt, Es wurden Informationen verändert, ihr Austausch verhindert oder umgeleitet, ganze Geschäftsprozesse kamen zum Erliegen. Betreffen gezielte Attacken die Betreiber von kritischen Infrastrukturen (z.B. Stromnetzbetreiber, international tätige Großbanken, große Transport- und Logistikunternehmen), können sich mögliche Schäden schnell auf nationaler und internationaler Ebene auswirken und Kettenreaktionen verursachen.

  • Regulatorik
  • IT-Risiko

Ihr Ansprechpartner

Achim Zeiner, Senior Manager

Achim Zeiner
Senior Manager

+49 (0)170 8785015
Achim.Zeiner@plenum.de

Christian Clément, Manager

Christian Clément
Manager

+49 (0)170 5722568
christian.clement@plenum.de