Seit Juli 2017 gehören die Sektoren Transport, Gesundheit, Verkehr, Finanzen und Versicherungen zu den kritischen Infrastrukturen (KRITIS). Auch für sie gilt seitdem das geänderte IT-Sicherheitsgesetz und die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI). Mit dieser Gesetzesänderung kommen umfassende Herausforderungen auf die neuen KRITIS-Bereiche und ihre Dienstleister zu. Tatjana Brozat, Referentin der TÜV NORD Akademie, erklärt, was zu beachten ist.
Eine Apotheke mit einem Vertrieb von 4,65 Millionen Packungen, ein Krankenhaus mit über 30.000 stationären Fällen oder eine Versicherung mit gut 122 Milliarden Euro Umsatz pro Jahr – mittlerweile gehören auch diese Unternehmen zu den sogenannten Kritischen Infrastrukturen (KRITIS). Es handelt sich dabei um Anlagen oder Systeme, die unverzichtbar sind, um wichtige gesellschaftliche Funktionen aufrechtzuerhalten. Sie unterliegen dem IT-Sicherheitsgesetz. Betriebe sind verpflichtet eigenständig zu prüfen, ob sie dazu zählen. Auch die Dienstleister der KRITIS-Sektoren betrifft die neue Gesetzgebung. Sie müssen die neuen Anforderungen ebenfalls umsetzen.
„Ist ein Unternehmen betroffen, muss das Management zunächst grundlegende Entscheidungen im Bereich der IT-Sicherheit treffen“, so Brozat, die auch als Lead Auditorin nach ISO 27001 tätig ist. Dazu gehört unter anderem, einen geeigneten und geschulten Informationssicherheitsbeauftragten zu benennen. „Viele Unternehmen setzen auf eigene IT-Sicherheitsbeauftragte, weil Interne einen besseren Überblick haben und bei Kolleginnen und Kollegen anerkannter sind“, erklärt die Expertin. Darüber hinaus muss der Betreiber ein Informationssicherheitsmanagementsystem (ISMS) implementieren. Es beinhaltet feste Abläufe und Strukturen, die mögliche Störungen der IT frühzeitig erkennen.
KRITIS-Unternehmen müssen nach dem IT-Sicherheitsgesetz außerdem folgende Maßnahmen umsetzen:
– Kontaktstelle benennen: Der Betreiber einer KRITIS ist verpflichtet, dem BSI eine Kontaktstelle oder Kontaktperson zu nennen, die für sämtliche Belange der IT-Sicherheit zuständig und für das BSI jederzeit erreichbar ist. Die Benennung muss bis Ende dieses Jahres erfolgen. Unternehmen ohne eine fachlich versierte Kontaktperson müssen entweder eine Mitarbeiterin oder einen Mitarbeiter entsprechend fortbilden lassen oder jemanden mit den nötigen Kenntnissen neu einstellen.
– IT-Störungen melden: Für Betreiber Kritischer Infrastrukturen gilt eine Meldepflicht an das BSI. Die Kontaktperson muss demnach einschätzen und entscheiden können, welche Vorfälle gravierend und somit meldepflichtig sind.
– Stand der Technik umsetzen: KRITIS-Unternehmen sind verpflichtet, den IT-Sicherheitsstandard technisch aktuell zu halten. Das beugt Störungen der informationstechnischen Systeme vor. Der Betreiber muss dem BSI spätestens zwei Jahre nach Einführung der Rechtsverordnung einen entsprechenden Beleg vorlegen. Quelle: TÜV NORD