KRITIS Audit
Sicherheitsnachweis für Betreiber kritischer Infrastrukturen
Mit zunehmender Digitalisierung werden moderne Infrastrukturen effizienter und intelligenter – jedoch auch anfälliger für Störungen und Ausfälle, beispielsweise durch Angriffe von Cyberkriminellen. Um diese für die Allgemeinheit essentiellen Infrastrukturen bestmöglich zu schützen, hat das Bundesamts für Sicherheit in der Informationstechnik (BSI) gesetzliche Vorgaben erlassen.
Mit dem BSI-Gesetz werden Betreiber kritischer Infrastrukturen (KRITIS) verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz vor Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Der Stand der Technik soll hierbei eingehalten werden.
Sind Sie Betreiber kritischer Infrastrukturen (KRITIS)?
Für jeden KRITIS-relevanten Sektor hat das BSI unterschiedliche Schwellenwerte festgelegt. Erreicht ein Unternehmen den Schwellenwert, gilt es als Betreiber kritischer Infrastrukturen.
Auch, wenn Ihr Unternehmen nicht als KRITIS-Unternehmen eingestuft ist, können IT-Sicherheitszertifizierungen für Sie notwendig sein. Insbesondere dann, wenn Sie Partner oder Zulieferer eines KRITIS-Unternehmens sind.
Die Verordnung richtet sich an folgende Sektoren:
Wie erfolgt der Nachweis?
Als Betreiber kritischer Anlagen müssen Sie einen speziellen Prüfbericht anfertigen lassen, mit dem Sie dem BSI bestätigen, dass Ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Hierzu müssen Sie ein KRITIS-Audit nach dem § 39 (ehemals § 8a) Absatz 3 BSIG von einem externen Auditor durchführen lassen. Nach erfolgtem Audit bestätigt eine unabhängige, akkreditierte Prüfstelle Ihre IT-Sicherheit. Welche Sicherheitsanforderungen Sie im Einzelnen erfüllen müssen, hängt von Ihrer Branche ab. In vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S) werden diese Anforderungen konkretisiert.
Um sich optimal auf das Audit vorzubereiten, sollten Sie im Vorfeld
- Einen Netzstrukturplan erstellen
- Risikoanalysen durchführen
- Ein internes Vorab-Audit durchführen
Wie unterstützt die usd AG bei KRITIS?
Als IT-Security-Beratungshaus und akkreditierter Qualified Security Assessor mit langjähriger Erfahrung in den unterschiedlichsten IT-Security-Beratungsprojekten und Prüfungen sind wir der optimale Partner für Ihr KRITIS-Audit.
Auf den Webseiten des BSI können Sie nachlesen, welche strengen Auflagen wir erfüllen, um Prüfungen nach dem § 39 (ehemals § 8a) Absatz 3 BSIG durchführen zu dürfen. Hierzu zählen beispielsweise:
- Einheitlichkeit bei Sicherheitsprüfungen
- Unabhängigkeit und Neutralität
- Kompetente und umfangreiche personelle Ressourcen
- Sichere Infrastruktur, Systeme und Anwendungen
- Belastbares Wissen in den Bereichen Informationssicherheit und Informationssicherheitsmanagementsysteme (ISMS)
- Vertrautheit mit gängigen Normen und Standards der IT- und Informationssicherheit
Synergieeffekte mit anderen Zertifizierungen
Wie geht die usd AG vor?
Phase 1
Prüfungsvorbereitung, inklusive der Wahl der Prüfungsgrundlage sowie der Prüfung des Geltungsbereichs
Phase 4
Vor-Ort-Prüfung
Phase 2
Erstellung des Prüfplans
Phase 5
Nachbereitung der Vor-Ort-Prüfung
Phase 3
Dokumentationsprüfung
Phase 6
Erstellung des Prüfberichts
Mehr zu KRITIS
Sie wollen tiefer ins Thema KRITIS einsteigen? Werfen Sie einen Blick in unsere bereits erschienenen Blogbeiträge:
- KRITIS: Was sind kritische Infrastrukturen und wie werden ihre Systeme geschützt?
- KRITIS: Die gesetzliche Grundlage
- KRITIS: Sektoren, Anlagen und Schwellenwerte
- KRITIS: Anforderungen, Nachweise und Audits
- KRITIS und PCI DSS
- KRITIS: BSI veröffentlicht Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung
