Prüfung kritischer Infrastrukturen nach § 8a (3) des BSI-Gesetzes
KRITIS IT-SiG 2.0 Beratung
Zu allen Themenbereichen bieten wir Ihnen individuelle Beratungen und Seminare
Was ist KRITIS IT-SiG 2.0?
Das IT-Sicherheitsgesetz 2.0 ist eine Weiterentwicklung des 1.0 Gesetztes und wurde im April 2021 eingeführt. Es verpflichtet alle KRITIS-Betreiber, spätestens bis zum 01.05.2023 erweiterte Sicherheitsmaßnahmen für ihre IT umzusetzen. Unter KRITIS versteht man Organisationen und Einrichtungen mit essenzieller Bedeutung für das Allgemeinwesen (Vgl qdc®-Glossar). Mit der Weiterentwicklung des Gesetzes wurden darüber hinaus zahlreiche Neuerung mit großer Relevanz für KRITIS-Unternehmen implementiert. Das IT-SiG 2.0 schafft damit Mindeststandards zum Schutz der IT-Systeme. Durch Managementsysteme wird die Grundlage geschaffen, diese Standards einzuhalten und zu kontrollieren. Der BSI kann dabei Sicherheitskennzeichen vergeben, die den Verbraucherschutz stärken.
Wen betrifft das KRITIS IT-SiG 2.0?
Das IT-SiG 2.0 betrifft die meisten Betreiber von „kritischen Infrastrukturen“, welche besonders anfällig sind. Ein Ausfall eines KRITIS-Betreibers könnte zu Versorgungsengpässen führen, woraus eine Bedrohung und Einschränkungen der öffentlichen Sicherheit resultieren würde. Zu den Sektoren des KRITIS IT-SiG 2.0 gehören Energie, Gesundheit, IT & TK, Transport & Verkehr, Medien & Kultur, Wasser, Finanzen & Versicherungen, Abfallwirtschaft, Ernährung, Staat & Verwaltungsbereich, die Rüstungsindustrie, Unternehmen mit besonderer volkswirtschaftlicher Bedeutung sowie Unternehmen/Institutionen, die der Störfall-Verordnung (StöV) unterliegen.
Seit das IT-SiG 2.0 im Jahr 2021 beschlossen wurde, findet eine kontinuierliche Verbesserung durch den Staat sowie dem BSI in Zusammenarbeit mit den Betreibern des KRITIS Sektor statt.
Nutzen und Pflichten KRITIS IT-SiG 2.0
Seit dem 01.05.2023 sind KRITIS-Betreiber verpflichtet Systeme zur Angriffserkennung in Ihrer IT einzusetzen. Die Funktionsfähigkeit dieser Systeme muss explizit durch aktuelle Prüfungen nachgewiesen werden. Darüber hinaus unterliegen KRITIS-Betreiber diversen Meldepflichten, wenn z.B. über Störungen und Maßnahmen zu Bewältigung dieser Störungen. Auch wird von KRITIS-Betreibern Eigeninitiative verlangt, so ist beispielsweise eine selbstständige Registrierung beim BSI notwendig. Ein weiterer Punkt ist die Einhaltung und Umsetzung aktueller IT-Standards. So müssen IT-Systeme stets auf den neusten Stand der Technik sein, um Störungen zu verhindern. Dies muss durch Sicherheitsaudits geprüft und zertifiziert werden. Dazu kann eine Zertifizierung nach ISO 27001 beitragen, um Sanktionen zu vermeiden.
Voraussetzungen für eine KRITIS IT-SiG 2.0
Die Voraussetzungen für eine KRITIS IT-SiG 2.0 Zertifizierung sind eine umfassende Überprüfung von Prozessen und Systemen, eine enge Zusammenarbeit mit Kunden und Lieferanten, eine Dokumenten- und Datenkontrolle sowie regelmäßige Audits und Überwachungen. Unternehmen darüber hinaus nachweisen, dass sie Prozesse der kontinuierlichen Verbesserungen implementiert haben und Risiken systematisch bewerten und bewältigen. Die KRITIS IT-SiG 2.0 Zertifizierung setzt voraus, dass das Unternehmen ein effektives Qualitätsmanagementsystem lebt, das alle relevanten Gesetze und Vorschriften einhält.
Über die KRITIS Zertifizierung
Eine KRITIS Zertifizierung beginnt mit einer umfassenden Überprüfung der Geschäftsprozesse, Systeme und Dokumente des Unternehmens durch eine unabhängige Zertifizierungsstelle. Die Zertifizierungsstelle überprüft in diesem Zusammenhang ebenfalls die Umsetzung des Qualitätsmanagementsystems, die Prozesse der IT sowie die Zusammenarbeit mit Kunden und Lieferanten.
Um Sie entsprechend für das Ziel der Zertifizierung vorzubereiten, beginnen unsere Berater mit einer GAP-Analyse in Ihrem Unternehmen, in Form eines Audits, mit abschließendem Auditbericht. Dabei sollen mögliche Abweichungen (“Lücken”) identifiziert und Maßnahmen zur Verbesserung dieser definiert werden. Anhand des Audits werden gemeinsam mit Ihnen Projektziele festgelegt und passend dazu ein Zeitplan erstellt. Um die Ziele möglichst schnell und wirksam zu erreichen, erfolgt eine Priorisierung von Aufgaben und Zuständigkeiten.
In dieser Hinsicht profitieren Sie von unseren langjährig erfahrenen Beratern. Wir sind stets an einer engen Zusammenarbeit mit Ihnen und Ihren Mitarbeitern interessiert. In diesem Zusammenhang ist es uns auch möglich, Schulungen und Seminare in Ihrem Unternehmen durchzuführen. Nach erfolgtem Projekt prüfen wir die Wirksamkeit der getroffenen Maßnahmen und passen diese gegebenenfalls an, um alle Anforderungen der KRITIS zu erfüllen und Sie zur Zertifizierungsreife zu führen.
1. PotenzialanalyseJedes Beratungsprojekt startet zunächst mit der Potentialanalyse. Somit müssen wir nicht in die Glaskugel schauen, um den schlussendlichen Projektumfang abzuschätzen, sondern können den tatsächlichen Arbeitsaufwand für die Herstellung der Zertifizierungsreife bestimmen.
Ziel ist es mit der Potentialanalyse mögliche Lücken und Schwachstellen aufzudecken, um den konkreten Umfang der Umsetzung abschätzen zu können. Somit erhalten Sie bei Anfrage eines Projektes zunächst lediglich ein Angebot über die Potentialanalyse und Dokumentation der Ergebnisse. Ein Angebot mit einem konkreten Projektumfang erhalten Sie erst nach Durchführung der ersten beiden Schritte „Potentialanalyse“ & „Dokumentation“.
Die Ist-/Potential oder auch GAP-Analyse erfolgt mittels eines Systemaudits. Je nach Unternehmensgröße und bisherigen Bearbeitungsstand der Normvorgaben kann dieses Audit zwischen 1 – 3 Tage Zeit benötigen.
2. Dokumentation Im Nachgang des Audits (GAP-Analyse) werden die Ergebnisse in einem Auditbericht festgehalten und in einen Maßnahmenplan transformiert. Dieser Maßnahmenplan beinhaltet die konkreten Handlungsempfehlungen und Notwendigkeiten, um die Zertifizierungsreife zu erreichen.
Nach der Identifikation der vorhandenen Lücken und der notwendigen Maßnahmen, legen wir gemeinsam fest in welchem Umfang unsere Beratungsleistung zum Tragen kommt.
3. Umsetzung Mit dem dritten Schritt beginnt die tatsächliche Abarbeitung der Lücken und Maßnahmen zur Erreichung der Zertifizierungsreife. Zunächst wird in einem Projektplan festgelegt, welche Arbeitspakete in welcher Reihenfolge und mit welcher Priorität abgearbeitet werden müssen. In diesem Zusammenhang werden ebenfalls die Verantwortlichkeiten und Ansprechpartner festgelegt.
Die Umsetzung kann dabei die Erarbeitung und Optimierung von Prozessen, Arbeitsanweisungen und Dokumentationen beinhalten.
Gleichzeitig ist es uns ein Anliegen nicht nur die für die Norm notwendigen Prozesse und Dokumente zu erstellen und anzupassen, sondern auch bei den Mitarbeitenden ein nachhaltiges Bewusstsein für die Anforderungen und deren Vorteile zu schaffen. Dies gelingt zum einen durch konkrete Gespräche, das Einbeziehen in die Erarbeitung und zum anderen durch Workshops und Mitarbeiterschulungen.
4. Wirksamkeitsprüfung Nach der Umsetzung der konkreten Maßnahmen erfolgt mittels eines erneuten Audits die Überprüfung der Wirksamkeit der getroffenen Maßnahmen. Dies bietet die Möglichkeit noch kleinere Ungereimtheiten und Probleme zu identifizieren und zu beheben. Darüber hinaus können mittels weiterer Bewusstseins-Schulungen die Kompetenzen und Methoden vertieft werden, um Ihnen eine nachhaltige Implementierung zu ermöglichen.
5. KVP (Kontinuierlicher Verbesserungsprozess) Ziel des KVP ist es eine Erhöhung der Effektivität und Effizienz in allen Bereichen zu ermöglichen. Gerne stehen wir auch nach Erreichung der Zertifizierungsreife für Sie als Ansprechpartner zur Verfügung, um Sie bei Ihrem Prozess der kontinuierlichen Verbesserung zu unterstützen und zu begleiten. Mittels regelmäßiger Audits können wir Ihr Managementsystem auf Aktualität und mögliche auftretende Probleme überprüfen. Als Schulungsanbieter mit unserer qdc® Akademie liefern wir Ihren Mitarbeitenden aktuellen Input aus Theorie und Praxis genauso wie neue methodische Ansätze zur Optimierung Ihrer Prozesse und Arbeitsabläufe. Somit sind Ihre Mitarbeiter auf dem aktuellen Stand und Ihre Firma auf dem richtigen Kurs.
Was kostet die KRITIS-Zertifizierung?
Die Kosten für eine KRITIS Zertifizierung hängen von zahlreichen Faktoren ab. Dazu zählen unter anderem die Größe des Unternehmens, die Komplexität der Prozesse und Systeme und die Anzahl der Standorte, die zertifiziert werden müssen. In der Regel sind die Kosten für die Überprüfung durch eine unabhängige Zertifizierungsstelle, die Durchführung von Audits und die Überwachung im Laufe der Zeit zusätzlich einzurechnen.
Darüber hinaus kann es auch Kosten für die Implementierung von Veränderungen und Verbesserungen geben, die erforderlich sind, um den Anforderungen der KRITIS Zertifizierung zu entsprechen. Die Kosten für die Zertifizierung sind dabei als eine Investition in die Zukunft des Unternehmens zu verstehen.
Eine erfolgreiche Zertifizierung kann die Kundenzufriedenheit erhöhen sowie eine höhere Effizienz und eine bessere Wettbewerbsfähigkeit ermöglichen. Auf Wunsch erstellen wir Ihnen gerne ein individuelles Angebot für Ihr Unternehmen.
KRITIS Beratung anfragen
- +49 151 688 38 017
- info@qdc.de
- Telefontermin vereinbaren
- Leipziger Straße 56, 09113 Chemnitz
Sie befinden sich auf: Beratung › Datenschutz &
Informationssicherheit › KRITIS IT-SiG 2.0
