KRITIS Audit

Sicherheitsnachweis für Betreiber kritischer Infrastrukturen

Kritische Infrastrukturen (KRITIS)

sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Definition des BSI

Mit zunehmender Digitalisierung werden moderne Infrastrukturen effizienter und intelligenter – jedoch auch anfälliger für Störungen und Ausfälle, beispielsweise durch Angriffe von Cyberkriminellen. Um diese für die Allgemeinheit essentiellen Infrastrukturen bestmöglich zu schützen, hat das Bundesamts für Sicherheit in der Informationstechnik (BSI) gesetzliche Vorgaben erlassen.

Mit dem BSI-Gesetz werden Betreiber kritischer Infrastrukturen (KRITIS) verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz vor Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Der Stand der Technik soll hierbei eingehalten werden.

Sind Sie Betreiber kritischer Infrastrukturen (KRITIS)?

Für jeden KRITIS-relevanten Sektor hat das BSI unterschiedliche Schwellenwerte festgelegt. Erreicht ein Unternehmen den Schwellenwert, gilt es als Betreiber kritischer Infrastrukturen.

Auch, wenn Ihr Unternehmen nicht als KRITIS-Unternehmen eingestuft ist, können IT-Sicherheitszertifizierungen für Sie notwendig sein. Insbesondere dann, wenn Sie Partner oder Zulieferer eines KRITIS-Unternehmens sind.

Die Verordnung richtet sich an folgende Sektoren:

  • Energie (Strom- und Gasversorgung)
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen

Wie erfolgt der Nachweis?

Als Betreiber kritischer Anlagen müssen Sie einen speziellen Prüfbericht anfertigen lassen, mit dem Sie dem BSI bestätigen, dass Ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Hierzu müssen Sie ein KRITIS-Audit nach dem § 8a Absatz 3 BSIG von einem externen Auditor durchführen lassen. Nach erfolgtem Audit bestätigt eine unabhängige, akkreditierte Prüfstelle Ihre IT-Sicherheit. Welche Sicherheitsanforderungen Sie im Einzelnen erfüllen müssen, hängt von Ihrer Branche ab. In vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S) werden diese Anforderungen konkretisiert.

Um sich optimal auf das Audit vorzubereiten, sollten Sie im Vorfeld

  • Einen Netzstrukturplan erstellen
  • Risikoanalysen durchführen
  • Ein internes Vorab-Audit durchführen

Wie können wir helfen?

Als IT-Security-Beratungshaus und akkreditierter Qualified Security Assessor mit langjähriger Erfahrung in den unterschiedlichsten IT-Security-Beratungsprojekten und Prüfungen sind wir der optimale Partner für Ihr KRITIS-Audit. Während unser Team das Audit bei Ihnen durchführt, arbeiten wir eng mit einer akkreditierten Prüfstelle zusammen, die den Prüfbericht für das BSI abschließend bestätigt.

Auf den Webseiten des BSI können Sie nachlesen, welche strengen Auflagen wir erfüllen, um Prüfungen nach dem § 8a Absatz 3 BSIG durchführen zu dürfen. Hierzu zählen beispielsweise:

  • Einheitlichkeit bei Sicherheitsprüfungen
  • Unabhängigkeit und Neutralität
  • Kompetente und umfangreiche personelle Ressourcen
  • Sichere Infrastruktur, Systeme und Anwendungen
  • Belastbares Wissen in den Bereichen Informationssicherheit und Informationssicherheitsmanagementsysteme (ISMS)
  • Vertrautheit mit gängigen Normen und Standards der IT- und Informationssicherheit
icon lupe orange 006

Synergieeffekte mit anderen Zertifizierungen

Für den KRITIS-Nachweis können vorhandene IT-Sicherheitszertifizierungen angerechnet werden. Nutzen Sie Überschneidungen und kombinieren Sie beispielsweise Ihr KRITIS-Audits mit Ihrem PCI DSS Assessment. So sparen Sie Zeit und Aufwand.

Wie gehen wir vor?

Icons Wie gehen wir vor 10

Phase 1

Prüfungsvorbereitung, inklusive der Wahl der Prüfungsgrundlage sowie der Prüfung des Geltungsbereichs

Icons Wie gehen wir vor 12

Phase 4

Vor-Ort-Prüfung

Icons Wie gehen wir vor 09

Phase 2

Erstellung des Prüfplans

Icons Wie gehen wir vor 05 1

Phase 5

Nachbereitung der Vor-Ort-Prüfung

Icons Wie gehen wir vor 03 1

Phase 3

Dokumentationsprüfung

Icons Wie gehen wir vor 11

Phase 6

Erstellung des Prüfberichts

usd pci unser team

Ihr KRITIS Audit

Fällt Ihr Unternehmen unter die KRITIS-Verordnung? Benötigen Sie Unterstützung beim Sicherheitsnachweis oder haben Sie Fragen hierzu?

Lassen Sie sich unverbindlich von unseren Expertinnen und Experten beraten.

icon symbol orange 007

Behalten Sie Ihre Nachweispflicht im Blick

Der KRITIS-Nachweis muss alle 2 Jahre erbracht werden.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: ­ +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Anna-Magdalena Kohl
usd Team Lead Sales,
PCI Professional