Anzeige

KRITIS

KRITIS wächst weiter: Durch die Ausweitung der BSI-Verordnung sind rund 250 zusätzliche Betriebe ab 2022 dazu verpflichtet, die Sicherheitsanforderungen für kritische Infrastrukturen umzusetzen. Wie können sich Unternehmen auf die Registrierung vorbereiten? Und welche Neuerungen bringt KRITIS 2.0 noch mit sich? Alle Details im Überblick.

Neben der verpflichtenden Einführung von Systemen zur Angriffserkennung baut die Novelle des IT-Sicherheitsgesetzes und der KRITIS-Verordnung vor allem den Geltungsbereich der Vorschrift aus: Mit der Abfallentsorgung kommt ein neuer Sektor hinzu, darüber hinaus sinken die Schwellenwerte für kritische Infrastrukturen in einigen Bereichen, etwa Energie und Transport. Das BSI veröffentlicht keine offizielle Statistik zur Zahl von KRITIS-Einrichtungen, Experten gehen jedoch davon aus, dass aufgrund dieser Änderungen etwa 250 zusätzliche Organisationen zu 1.600 bestehenden kritischen Infrastrukturen hinzukommen. 

Betriebe, die einen dieser Grenzwerte überschreiten, zählen ab April des Folgejahres als KRITIS-Einrichtung und müssen sich spätestens zu diesem Zeitpunkt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Sinnvoll wäre jedoch, die Anmeldung so bald wie möglich über das Melde- und Informationsportal des BSI abzuschließen. Zusätzlich muss im Unternehmen eine Kontaktstelle eingerichtet werden, die rund um die Uhr in der Lage ist, Updates und Warnungen des BSI zu empfangen und zu bewerten.

Einen Sonderfall bildet dabei die neu geschaffene Kategorie der Unternehmen im besonderen öffentlichen Interesse (UBI): Erstens fehlen hier noch einige Grenzwerte, zweitens unterscheiden sich die festgelegten Fristen zur Registrierung je nach Unterkategorie:

  • Betriebe, die mit Gefahrstoffen der oberen Klasse der Störfall-Verordnung arbeiten
  • Firmen, die Rüstungsmaterial oder staatliche Verschlusssachen verantworten
  • Unternehmen mit hoher Bedeutung für die inländische Wertschöpfung

Generell müssen sich Unternehmen im öffentlichen Interesse zwar auch beim BSI registrieren und erhebliche Störungen melden, sie sind jedoch nicht zur Einhaltung eines bestimmten Schutzniveaus verpflichtet. Stattdessen genügt eine Selbsterklärung zur IT-Sicherheit alle zwei Jahre, in der Firmen beispielsweise angeben, welche Zertifizierungen sie abgeschlossen haben.

Vorbereitung auf KRITIS: Der richtige Standard

Die Registrierung beim BSI ist nur die erste Hürde: Anschließend gilt es, die Informationssicherheit im Unternehmen auf das geforderte Niveau anzuheben. KRITIS verpflichtet Betreiber zu Schutzmaßnahmen nach dem Stand der Technik, schreibt aber keinen bestimmten Sicherheitsstandard vor. Zur Orientierung veröffentlicht das BSI einen Katalog an Anforderungen, die KRITIS-Betreiber abdecken sollten. Bei der Umsetzung können sich Organisationen an bestehenden Normen wie ISO 27001 und dem IT-Grundschutz orientieren oder selbst einen branchenspezifischen Sicherheitsstandard (B3S) entwickeln, den das BSI prüft und freigibt.

Als ersten Schritt sollten sich Betriebe also für einen Standard entscheiden und diesen als Leitlinie zur Vorbereitung verwenden. Hier hat jede Option spezifische Vor- und Nachteile. Die Norm ISO 27001 ist weltweit gültig und eignet sich daher auch international als Nachweis, allerdings erfüllt sie nicht alle KRITIS-Anforderungen. ISO 27001 lässt Organisationen einen gewissen Spielraum und stellt es z.B. frei, gewisse Risiken in Kauf zu nehmen oder durch eine Versicherung abzudecken. Aufgrund ihrer wesentlichen Bedeutung für die öffentliche Versorgung ist das bei kritischen Infrastrukturen keine Option. Nähere Informationen des BSI.

Bei dem IT-Grundschutz handelt es sich um einen Katalog an Schutzmaßnahmen, den das BSI als freiwillige Hilfestellung für Unternehmen anbietet. Da das Grundschutz-Kompendium selbst aus der Feder des BSI stammt, bestehen keine Konflikte zum Katalog der KRITIS-Anforderungen. Der Standard bietet Organisationen zudem sehr detaillierte und handfeste Vorgaben zur Absicherung von digitalen Systemen. Dieser hohe Detailgrad macht den IT-Grundschutz aber auch enorm umfangreich: Das Kompendium aller Sicherheits-Bausteine umfasst mehr als 800 Seiten.

Helmut Semmelmayer, Senior Manager Channel Sales
Helmut Semmelmayer
Senior Manager Channel Sales, tenfold
Als Senior Manager Channel Sales bei dem IAM-Entwickler tenfold hilft der IT-Sicherheitsexperte Helmut Semmelmayer Firmen dabei, Zugriffsrechte sicher und effizient zu verwalten. (Bildquelle: LinkedIn)

Artikel zu diesem Thema

Paragraph
Sep 24, 2021

IT-Sicherheitsgesetz 2.0 und KRITIS

KRITIS-Betreiber müssen ihre IT-Sicherheitsmaßnahmen ausbauen – das fordert das…
BSI IT Grundschutz
Aug 10, 2021

BSI-IT-Grundschutz: Lohnt sich die Zertifizierung?

Mit dem IT-Grundschutz stellt das BSI einen umfangreichen Leitfaden zur Absicherung…
Hacker
Jun 11, 2021

Angriffe auf KRITIS - Ändern Hacker ihre Strategie?

Cyberkriminelle nehmen immer häufiger kritische Infrastrukturen ins Visier und richten…

Weitere Artikel

Cyber Security

Start-ups & Security: Risiken und Gefahren zum Website Launch

Wer heutzutage ein Start-up gründet, hat zunächst alle Hände voll zu tun. Was dabei allerdings gerne vergessen wird, ist das Thema Sicherheit im Zusammenhang mit der eigenen Website. Und das kann fatale Folgen haben.
KRITIS

Die Energiewende als Herausforderungen für die Cybersicherheit

Die Energiewende ist in vollem Gange. Doch dabei sollte die Cybersicherheit nicht zu kurz kommen. Denn die neue Technologie bringt auch neue Angriffsvektoren mit sich.
Open Source

Gipfeltreffen zur Sicherheit von Open-Source-Software

Akamai Technologies hat an dem vom Weißen Haus veranstalteten Gipfeltreffen zur Sicherheit von Open-Source-Software teilgenommen und dabei die Gelegenheit genutzt, seine Ansichten und Empfehlungen zu diesem wichtigen Thema darzulegen. Ein Kommentar von…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.