IT Sicherheitsgesetz - Identifizierung und Umsetzung verpflichtender Massnahmen

it sicherheitsgesetz deutschland

IT Sicherheitsgesetz Deutschland - Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

Bereits im Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Das IT-Sicherheitsgesetz verlangt umfassende technische, organisatorische und ausbildungsmässige Sicherheitsmassnahmen.

Gerne helfen wir mit praktischer Erfahrung bei allen relevanten Themen zum IT-Sicherheitsgesetz.

Für wen gilt das neue Gesetz?

Im Zentrum der gesetzlichen Neuregelung stehen Unternehmen, die als von zentraler Bedeutung für die Gesellschaft angesehen werden, wie beispielsweise Unternehmen aus folgenden Bereichen:

• Energie (Elektrizität, Gas, Öl, alternative Energien)
• Informationstechnik und Telekommunikation
• Transport und Verkehr
• Gesundheit (Krankenhäuser, Pharmahersteller, Labore)
• Wasser (Wasserversorgung und Abwasserentsorgung)
• Ernährung
• Finanz- und Versicherungswesen

Der Gesetzgeber geht von maximal 2.000 Unternehmen aus, die für die Charakterisierung als „KRITIS“ in Frage kommen. Ausgenommen sind nach derzeitigem Stand Kleinstunternehmen, d.h. Firmen mit weniger als 10 Mitarbeitern und weniger als 2 Millionen Euro Jahresumsatz. Für alle anderen Unternehmen der genannten Branchen ist es jedoch möglich, dass sie als Kritische Infrastrukturen eingeordnet werden und die neuen Anforderungen umsetzen müssen.

KRITIS-Betreiber oder nicht?

Unternehmen sind grundsätzlich selbst dafür verantwortlich, zu evaluieren, ob sie zu den KRITIS-Betreiber gehören. Eine Betroffenheitsanalyse kann dabei helfen, zu identifizieren, ob Sie kritische Versorgungsdienstleistungen gemäss der Definitionen der BSI-Kritisverordnung erbringen und welche konkreten Prozesse und Anlagen ihres Unternehmens zur Dienstleistungserbringung beitragen. Festgelegte Schwellwerte in der Verordnung dienen als Benchmarks. Mittels diesen Schwellenwerten wird bewertet, ob ihre Anlagen als kritische Infrastruktur gelten.

Auf diese Weise wird transparent ersichtlich, ob ihr Unternehmen die Anforderungen des IT-Sicherheitsgesetzes im Ganzen oder nur für einzelne Teile berücksichtigen muss.

Informationssicherheits-Managementsystem - Sicherheitsorganisation (ISMS)

Insbesondere kleinere KRITIS-Betreiber sind auf ein bedarfsgerechtes und schlankes Managementsystem für Informationssicherheit (ISMS) angewiesen. Dabei empfehlen wir die Ausrichtung des ISMS an anerkannten Standards wie ISO/IEC 27001 oder BSI IT-Grundschutz.

Unsere praktischen Erfahrung bei Aufbau und Einführung von Informationssicherheits-Managementsystemen helfen, Sie bei der ISMS Umsetzung mit überschaubarem Aufwand zu unterstützen. Dabei helfen wir auch, die notwendigen Regel- und Vorgabenwerke schlank zu erstellen sowie ein IS-Risikomanagement aufzubauen. Im Rahmen der ISMS-Implementierung begleiten wir Sie - je nach bedürfnis - bis zur Zertifizierungsreife.

 

Wer kann Ihnen bei der Erarbeitung und implementierung einer Sicherheitsorganisation bzw. eines Informationssicherheits-Managementsystems im Zusammenhang mit kritischen Infrastruktursystemen helfen?
Kontaktieren Sie uns. Gerne besprechen wir mit Ihnen die Möglichkeiten.

IS Risikoanalysen sind meist nicht trivial zu erarbeiten. Viel zu oft versteckt man sich hinter wagen Eintrittswahrscheinlichkeiten, die man ehrlich gesagt kaum richtig einschätzen kann. Die Einschätzung wird dann zum eigentlichen Risiko. Eine Risikobeschreibung mit verschiedensten Risikoparametern kann dabei nützliche Abhilfe leisten.
Eugen Leibundgut, Partner RM Risk Management AG

nach oben