Datenschutz & Informationssicherheitsmanagement

Prüfung kritischer Infrastrukturen nach § 8a (3) des BSI-Gesetzes
KRITIS IT-SiG 2.0 Beratung

Zu allen Themenbereichen bieten wir Ihnen individuelle Beratungen und Seminare

Was ist KRITIS IT-SiG 2.0?

Das IT-Sicherheitsgesetz 2.0 ist eine Weiterentwicklung des 1.0 Gesetztes und wurde im April 2021 eingeführt. Es verpflichtet alle KRITIS-Betreiber, spätestens bis zum 01.05.2023 erweiterte Sicherheitsmaßnahmen für ihre IT umzusetzen. Unter KRITIS versteht man Organisationen und Einrichtungen mit essenzieller Bedeutung für das Allgemeinwesen (Vgl qdc®-Glossar). Mit der Weiterentwicklung des Gesetzes wurden darüber hinaus zahlreiche Neuerung mit großer Relevanz für KRITIS-Unternehmen implementiert. Das IT-SiG 2.0 schafft damit Mindeststandards zum Schutz der IT-Systeme. Durch Managementsysteme wird die Grundlage geschaffen, diese Standards einzuhalten und zu kontrollieren. Der BSI kann dabei Sicherheitskennzeichen vergeben, die den Verbraucherschutz stärken.

KRITIS IT-SiG 2.0

Wen betrifft das KRITIS IT-SiG 2.0?

Das IT-SiG 2.0 betrifft die meisten Betreiber von „kritischen Infrastrukturen“, welche besonders anfällig sind. Ein Ausfall eines KRITIS-Betreibers könnte zu Versorgungsengpässen führen, woraus eine Bedrohung und Einschränkungen der öffentlichen Sicherheit resultieren würde. Zu den Sektoren des KRITIS IT-SiG 2.0 gehören Energie, Gesundheit, IT & TK, Transport & Verkehr, Medien & Kultur, Wasser, Finanzen & Versicherungen, Abfallwirtschaft, Ernährung, Staat & Verwaltungsbereich, die Rüstungsindustrie, Unternehmen mit besonderer volkswirtschaftlicher Bedeutung sowie Unternehmen/Institutionen, die der Störfall-Verordnung (StöV) unterliegen. 

Seit das IT-SiG 2.0 im Jahr 2021 beschlossen wurde, findet eine kontinuierliche Verbesserung durch den Staat sowie dem BSI in Zusammenarbeit mit den Betreibern des KRITIS Sektor statt.

Wen betrifft das KRITIS IT-SiG 2.0

Nutzen und Pflichten KRITIS IT-SiG 2.0

Seit dem 01.05.2023 sind KRITIS-Betreiber verpflichtet Systeme zur Angriffserkennung in Ihrer IT einzusetzen. Die Funktionsfähigkeit dieser Systeme muss explizit durch aktuelle Prüfungen nachgewiesen werden. Darüber hinaus unterliegen KRITIS-Betreiber diversen Meldepflichten, wenn z.B. über Störungen und Maßnahmen zu Bewältigung dieser Störungen. Auch wird von KRITIS-Betreibern Eigeninitiative verlangt, so ist beispielsweise eine selbstständige Registrierung beim BSI notwendig. Ein weiterer Punkt ist die Einhaltung und Umsetzung aktueller IT-Standards. So müssen IT-Systeme stets auf den neusten Stand der Technik sein, um Störungen zu verhindern. Dies muss durch Sicherheitsaudits geprüft und zertifiziert werden. Dazu kann eine Zertifizierung nach ISO 27001 beitragen, um Sanktionen zu vermeiden. 

Voraussetzungen für eine KRITIS IT-SiG 2.0

Die Voraussetzungen für eine KRITIS IT-SiG 2.0 Zertifizierung sind eine umfassende Überprüfung von Prozessen und Systemen, eine enge Zusammenarbeit mit Kunden und Lieferanten, eine Dokumenten- und Datenkontrolle sowie regelmäßige Audits und Überwachungen. Unternehmen darüber hinaus nachweisen, dass sie Prozesse der kontinuierlichen Verbesserungen implementiert haben und Risiken systematisch bewerten und bewältigen. Die KRITIS IT-SiG 2.0  Zertifizierung setzt voraus, dass das Unternehmen ein effektives Qualitätsmanagementsystem lebt, das alle relevanten Gesetze und Vorschriften einhält. 

Über die KRITIS Zertifizierung

Eine  KRITIS  Zertifizierung beginnt mit einer umfassenden Überprüfung der Geschäftsprozesse, Systeme und Dokumente des Unternehmens durch eine unabhängige Zertifizierungsstelle. Die Zertifizierungsstelle überprüft in diesem Zusammenhang ebenfalls die Umsetzung des Qualitätsmanagementsystems, die Prozesse der IT sowie die Zusammenarbeit mit Kunden und Lieferanten.

IFS-Logistics Zertifizierung
Wie wir arbeiten

Um Sie entsprechend für das Ziel der Zertifizierung vorzubereiten, beginnen unsere Berater mit einer GAP-Analyse in Ihrem Unternehmen, in Form eines Audits, mit abschließendem Auditbericht. Dabei sollen mögliche Abweichungen (“Lücken”) identifiziert und Maßnahmen zur Verbesserung dieser definiert werden. Anhand des Audits werden gemeinsam mit Ihnen Projektziele festgelegt und passend dazu ein Zeitplan erstellt. Um die Ziele möglichst schnell und wirksam zu erreichen, erfolgt eine Priorisierung von Aufgaben und Zuständigkeiten.

In dieser Hinsicht profitieren Sie von unseren langjährig erfahrenen Beratern. Wir sind stets an einer engen Zusammenarbeit mit Ihnen und Ihren Mitarbeitern interessiert. In diesem Zusammenhang ist es uns auch möglich, Schulungen und Seminare in Ihrem Unternehmen durchzuführen. Nach erfolgtem Projekt prüfen wir die Wirksamkeit der getroffenen Maßnahmen und passen diese gegebenenfalls an, um alle Anforderungen der KRITIS zu erfüllen und Sie zur Zertifizierungsreife zu führen.

Ablauf icon
Der Projektablauf

Jedes Beratungsprojekt startet zunächst mit der Potentialanalyse. Somit müssen wir nicht in die Glaskugel schauen, um den schlussendlichen Projektumfang abzuschätzen, sondern können den tatsächlichen Arbeitsaufwand für die Herstellung der Zertifizierungsreife bestimmen.

Ziel ist es mit der Potentialanalyse mögliche Lücken und Schwachstellen aufzudecken, um den konkreten Umfang der Umsetzung abschätzen zu können. Somit erhalten Sie bei Anfrage eines Projektes zunächst lediglich ein Angebot über die Potentialanalyse und Dokumentation der Ergebnisse. Ein Angebot mit einem konkreten Projektumfang erhalten Sie erst nach Durchführung der ersten beiden Schritte „Potentialanalyse“ & „Dokumentation“.

Die Ist-/Potential oder auch GAP-Analyse erfolgt mittels eines Systemaudits. Je nach Unternehmensgröße und bisherigen Bearbeitungsstand der Normvorgaben kann dieses Audit zwischen 1 – 3 Tage Zeit benötigen.

Im Nachgang des Audits (GAP-Analyse) werden die Ergebnisse in einem Auditbericht festgehalten und in einen Maßnahmenplan transformiert. Dieser Maßnahmenplan beinhaltet die konkreten Handlungsempfehlungen und Notwendigkeiten, um die Zertifizierungsreife zu erreichen.
Nach der Identifikation der vorhandenen Lücken und der notwendigen Maßnahmen, legen wir gemeinsam fest in welchem Umfang unsere Beratungsleistung zum Tragen kommt.

Mit dem dritten Schritt beginnt die tatsächliche Abarbeitung der Lücken und Maßnahmen zur Erreichung der Zertifizierungsreife. Zunächst wird in einem Projektplan festgelegt, welche Arbeitspakete in welcher Reihenfolge und mit welcher Priorität abgearbeitet werden müssen. In diesem Zusammenhang werden ebenfalls die Verantwortlichkeiten und Ansprechpartner festgelegt.
Die Umsetzung kann dabei die Erarbeitung und Optimierung von Prozessen, Arbeitsanweisungen und Dokumentationen beinhalten.

Gleichzeitig ist es uns ein Anliegen nicht nur die für die Norm notwendigen Prozesse und Dokumente zu erstellen und anzupassen, sondern auch bei den Mitarbeitenden ein nachhaltiges Bewusstsein für die Anforderungen und deren Vorteile zu schaffen. Dies gelingt zum einen durch konkrete Gespräche, das Einbeziehen in die Erarbeitung und zum anderen durch Workshops und Mitarbeiterschulungen.

Nach der Umsetzung der konkreten Maßnahmen erfolgt mittels eines erneuten Audits die Überprüfung der Wirksamkeit der getroffenen Maßnahmen. Dies bietet die Möglichkeit noch kleinere Ungereimtheiten und Probleme zu identifizieren und zu beheben. Darüber hinaus können mittels weiterer Bewusstseins-Schulungen die Kompetenzen und Methoden vertieft werden, um Ihnen eine nachhaltige Implementierung zu ermöglichen.

Ziel des KVP ist es eine Erhöhung der Effektivität und Effizienz in allen Bereichen zu ermöglichen. Gerne stehen wir auch nach Erreichung der Zertifizierungsreife für Sie als Ansprechpartner zur Verfügung, um Sie bei Ihrem Prozess der kontinuierlichen Verbesserung zu unterstützen und zu begleiten. Mittels regelmäßiger Audits können wir Ihr Managementsystem auf Aktualität und mögliche auftretende Probleme überprüfen. Als Schulungsanbieter mit unserer qdc® Akademie liefern wir Ihren Mitarbeitenden aktuellen Input aus Theorie und Praxis genauso wie neue methodische Ansätze zur Optimierung Ihrer Prozesse und Arbeitsabläufe. Somit sind Ihre Mitarbeiter auf dem aktuellen Stand und Ihre Firma auf dem richtigen Kurs.

Was kostet die KRITIS-Zertifizierung?

Die Kosten für eine KRITIS  Zertifizierung hängen von zahlreichen Faktoren ab. Dazu zählen unter anderem die Größe des Unternehmens, die Komplexität der Prozesse und Systeme und die Anzahl der Standorte, die zertifiziert werden müssen. In der Regel sind die Kosten für die Überprüfung durch eine unabhängige Zertifizierungsstelle, die Durchführung von Audits und die Überwachung im Laufe der Zeit zusätzlich einzurechnen. 

Darüber hinaus kann es auch Kosten für die Implementierung von Veränderungen und Verbesserungen geben, die erforderlich sind, um den Anforderungen der KRITIS Zertifizierung zu entsprechen. Die Kosten für die Zertifizierung sind dabei als eine Investition in die Zukunft des Unternehmens zu verstehen. 

Eine erfolgreiche Zertifizierung kann die Kundenzufriedenheit erhöhen sowie eine höhere Effizienz und eine bessere Wettbewerbsfähigkeit ermöglichen. Auf Wunsch erstellen wir Ihnen gerne ein individuelles Angebot für Ihr Unternehmen. 

ISO 9001 Beratung

KRITIS Beratung anfragen

Formular Anfrage
QDC Karte DE + CH

Sie befinden sich auf: BeratungDatenschutz &
Informationssicherheit
› KRITIS IT-SiG 2.0

Lassen Sie sich beraten!

schnell. unverbindlich. kostenlos

Kursraum Vermietung

Füllen Sie einfach die untenstehenden Felder aus und wir melden uns bei Ihnen so bald wie möglich.

Ihren gewünschten Zeitraum