Thought Leadership
Ende Juli ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, in Kraft getreten. Ziel ist, die IT-Sicherheitslage in Deutschland zu verbessern.
Das Gesetz verpflichtet insbesondere Institutionen und Unternehmen der sogenannten Kritischen Infrastrukturen (KRITIS, zum Beispiel die Branchen Transport & Verkehr, Gesundheit, Finanz- und Versicherungswesen, Energie), bis Ende 2018 definierte Sicherheitsstandards umzusetzen. Von dieser Regelung sind aber auch Unternehmen betroffen, die als Zulieferer und Outsourcing-Partner für KRITIS-Unternehmen tätig sind. Darauf weisen die Experten von TÜViT, einem Unternehmen der TÜV NORD GROUP, hin.
„KRITIS-Unternehmen werden die Anforderungen aus dem IT-Sicherheitsgesetz 1:1 an ihre Partner weitergeben. Daher ist es gerade für diese Gruppe besonders wichtig, schnell gut aufgestellt zu sein. Generell sollten alle Betroffenen frühzeitig an die Realisierung der Anforderungen denken, um die Umsetzungsfristen entspannt angehen zu können“, sagt Tobias Kippert, Produkt-Manager für Enterprise Security bei TÜViT.
Um das Level der Informationssicherheit auf einen aktuellen Stand zu bringen, sind die einzelnen Branchen nun aufgefordert, Sicherheitsstandards zu entwerfen. Grundsätzlich muss alle zwei Jahre in Sicherheitsaudits die adäquate Umsetzung der Sicherheitsanforderungen nachgewiesen werden. Die Bundesnetzagentur hat darauf mit dem vor kurzem veröffentlichten IT-Sicherheitskatalog mit Umsetzungsvorgaben für die Energiebranche reagiert. In diesem wird auch die Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 gefordert. „Auch die Vorgaben des IT-Sicherheitsgesetzes werden am sinnvollsten durch ein ISMS nach ISO 27001 erfüllt. Mit einem Zertifikat über ein ISMS im entsprechenden Geltungsbereich kann ein Unternehmen effektiv nachweisen, dass das geforderte Sicherheitsniveau erreicht wurde“, erklärt Kippert. Das ISMS stelle zudem sicher, dass Sicherheitsmaßnahmen gemäß der identifizierten Risiken implementiert und auf dem aktuellen Stand gehalten werden.
Cyberattacken und wie sich Unternehmen mit umfassenden Maßnahmen davor schützen können, stehen auch im Mittelpunkt des Auftritts von TÜViT auf der Messe it-sa in Nürnberg vom 6. bis 8. Oktober (Halle 12, Stand 314).
