Kategorien-Archiv Wissen wie es geht

NIS 2-Richtlinie sinnvoll umsetzen

In diesem Beitrag erläutern wir, was die NIS 2-Richtlinie eingentlich von Ihnen als wichtige oder besonders wichtige Einrichtung verlangt und wie Sie ganz einfach die Anforderungen der NIS 2-Richtlinie mit NormTracker erfüllen werden.

Unternehmen, die der NIS 2-Richtlinie unterliegen, müssen Sicherheitsanforderungen erfüllen, um ein gemeinsames Netz- und Informationssicherheitsniveau in der EU sicherzustellen. Die genauen Anforderungen variieren je nach nationaler Umsetzung und Unternehmensart. Die NIS 2 unterscheidet in 18 wichtige und besonders wichtige Sektoren. Diese Sektoren zählen zur kritischen Infrastruktur (KRITIS) und haben sich durch die NIS 2-Richtlinie noch einmal deutlich ausgeweitet. Zwischen 29.000 und 40.000 Unternehmen in Deutschland sind voraussichtlich von NIS 2 betroffen und müssen ein Informationssicherheitsmanagementsystem (ISMS) einführen, um den gesetzlichen Vorgaben gerecht zu werden. Das bedeutet, dass Die folgenden fünf wesentlichen Anforderungen erfüllt werden müssen:

  1. Cybersecurity Governance / Informationssicherheits-managementsystem (ISMS):
    • Betrieb eines ISMS nach einem anerkannten Standard.
    • Wichtige Einrichtungen müssen Risikomanagementmaßnahmen umsetzen und über Cybersicherheit berichten.
    • Leitungsorgane sind für die Umsetzung verantwortlich und haftbar nach nationalem Recht.
  2. Cybersecurity Prevention:
    • Unternehmen müssen technische und organisatorische Maßnahmen gemäß dem Stand der Technik ergreifen.
    • Die Angemessenheit richtet sich nach individueller Risikoexposition.
  3. Vorfall-Management:
    • Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden.
    • Effektive Verfahren zur Meldung und Behebung von Sicherheitsvorfällen sind erforderlich.
  4. Business Continuity Management (BCM):
    • Business Continuity Management umfasst die Formulierung von Strategien, Plänen und Maßnahmen, die sicherstellen sollen, dass ein Unternehmen auch während Störungen, Krisen oder Katastrophen seine operativen Aktivitäten effektiv aufrechterhalten kann.
    • NIS 2 legt pragmatische Anforderungen an das BCM fest, um Bürokratie zu vermeiden.
    • Der gefahrenübergreifende Ansatz umfasst Netz- und Informationssicherheit sowie die physische Umwelt.
  5. Zusammenarbeit mit zuständigen Behörden:
    • Unternehmen müssen mit nationalen Behörden kooperieren und über Sicherheitsvorfälle informieren.
    • NIS 2 bietet Behörden umfassende Durchsetzungsbefugnisse mit Sanktionen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen und sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes für wichtige Unternehmen.

Mit NormTracker bieten wir Ihnen eine aufgabengelenkte Vorgehensweise, um zum Beispiel ein ISMS nach ISO27001, VdS10000 oder VDA ISA 6.0 simpel, zeit- und aufwandseinsparend umzusetzen. Mit unserem Business Continuity Management (BCM) Modul, als z.B. Add-On zu Ihrem ISMS, erhalten Sie zudem eine super Anleitung, um Ihre Geschäftsprozesse zu härten und sich auf Krisen und Notfälle bestens vorzubereiten. Führen Sie einen transparenten Nachweis über die erforderlichen ToDos und behalten Sie den Überblick. Das integrierte ISMS-Dokumentenvorlagenpaket, vorbefüllte Maßnahmen- und Gefährdungskataloge sorgen für noch mehr Geschwindigkeit.

Sie möchten NormTracker in Aktion sehen? Dann kommen Sie auf uns für Livedemos und kostenlose Testzugänge zu und schreiben uns eine E-Mail an hello@certvision.de.

Oder besuchen Sie eines unserer regelmäßigen Webinare zur Einführung und dem Betrieb eines ISMS.

Business Continuity Management (BCM)

In diesem Beitrag widmen wir uns der Frage, wie sinnvoll der Betrieb eines Business Continuity Management Systems (BCMS) ist.

Business Continuity Management bezieht sich auf die Entwicklung von Strategien, Plänen und Maßnahmen, um sicherzustellen, dass ein Unternehmen auch in Zeiten von Störungen, Krisen oder Katastrophen weiterhin effektiv operieren kann. Es gibt mehrere Gründe, warum Unternehmen ein BCMS betreiben sollten.

Das BCM stellt sicher, dass ein Unternehmen auch nach einem schwerwiegenden Vorfall oder einer Krise weiterhin funktionieren kann. Dies hilft, Betriebsunterbrechungen zu minimieren und die Wiederherstellungszeit zu verkürzen.

BCM hilft dabei, potenzielle Risiken zu identifizieren und zu bewerten, sei es in Form von Naturkatastrophen, technischen Ausfällen, menschlichem Versagen oder anderen unvorhersehbaren Ereignissen. Durch die Identifizierung von Risiken können Unternehmen geeignete Maßnahmen ergreifen, um die Wahrscheinlichkeit von Ausfällen zu minimieren.

In einigen Branchen und für bestimmte Unternehmen ist die Einhaltung von Vorschriften und Standards, die BCM einschließen, gesetzlich vorgeschrieben. Ein BCM-System hilft, diese Compliance-Anforderungen zu erfüllen und mögliche rechtliche Konsequenzen zu vermeiden. Verpflichtend besonders für die Betreiber kritischer Infrastrukturen, nicht zuletzt durch die NIS-2-Richtlinie hat sich dieser Sektor deutlich vergrößert. Ebenfalls verlangen Normen wie die ISO27001 und die VDA ISA ein funktionierendes BCM.

Ein gut durchdachtes BCM-Programm zeigt Kunden, dass das Unternehmen sich um die Kontinuität seiner Dienstleistungen kümmert. Dies kann das Vertrauen der Kunden stärken und die Reputation des Unternehmens verbessern.

Während die Implementierung eines BCM-Systems mit bestimmten Kosten verbunden ist, können die langfristigen Vorteile in Form von reduzierten Ausfallzeiten und schnelleren Wiederherstellungszeiten zu erheblichen Kosteneinsparungen führen.

Mit NormTracker erhalten Sie eine einfache Anleitung, mit der Sie die Anforderungen strukturiert umsetzen und transparent nachhalten können.

Einige Versicherungsgesellschaften verlangen möglicherweise von Unternehmen, dass sie ein BCM-System implementieren, um ihre Versicherungspolicen aufrechtzuerhalten oder um von günstigeren Prämien zu profitieren. Ein umgesetztes BCM ist somit schon häufig für versicherte Unternehmen über 50 Mio. Euro Jahresumsatz verpflichtend, um den Versicherungsschutz aufrecht zu erhalten.

Klar ist, Unternehmen, die ein robustes BCM-System implementieren, können einen Wettbewerbsvorteil erlangen, indem sie ihre Widerstandsfähigkeit gegenüber Störungen zeigen. Dies kann potenzielle Kunden und Partner ansprechen, die Wert auf Geschäftskontinuität legen.

Testen Sie jetzt NormTracker mit unserem bewährten BCM Modul und sichern Sie Ihre Geschäftsprozesse ab. Schreiben Sie uns eine Nachricht an hello@certvision.de oder wenden Sie sich an Ihren NormTracker Berater.

Auch als Add-On für Ihr bestehendes ISMS erhältlich.

VDA ISA 6.0 mit NormTracker

Die neue VDA ISA 6.0 bringt einige Änderungen mit sich, die ab dem 01.01.2024 in Kraft treten werden.

Im Detail betrachtet, handelt es sich um 29 neue Anforderungen und Unteranfroderungen, die hinzugekommen sind sowie 3 Anforderungen, die entfernt wurden. Dazu kommen 114 Anforderungen, bei denen textlich Änderungen vorgenommen wurden. Nur 71 Anforderungen und Unteranfordeurngen unterliegen keiner Veränderung.

Die Erkenntnisse aus unserer detaillierten Analyse der Normen-Texte sowie unter Berücksichtigung einer Umfrage, an der unsere NormTracker Anwender sowie Partnerberater fleißig teilgenommen haben, ergaben für uns ein ganz klares Bild. –> Die VDA ISA 6.0 muss in einem komplett neuem Normen-Modul losgelöst von der alten Version dargestellt, behandelt und bewertet werden.

Was bedeutet das für unsere Neukunden?

Neukunden erhalten ab 2024 das neue Normen-Modul VDA ISA 6.0 im NormTracker bereitgestellt.

Was bedeutet das für Bestandskunden?

Bestandskunden erhalten zusätzlich das neue VDA ISA 6.0 Normen-Modul zum bestehenden VDA ISA 5.1 Normen-Modul zur Verfügung gestellt. Bei den unveränderten Anforderungen bieten wir auf Kundenwunsch einen Übertrag an.

Aufgrund dieser signifikanten Veränderungen empfehlen wir allen Anwendern dieser Norm, die neue Version Schritt für Schritt zu überprüfen und noch einmal jede Anforderung genau abzugleichen.

Sie haben noch Fragen oder möchten die neueste Version in unserem NormTracker testen, dann kommen Sie auf uns zu. Schreiben Sie uns einfach eine Nachricht an hello@certvision.de oder besuchen Sie unsere Livesessions und Events.

Dein Hund erinnert mich an meine Informationssicherheit!

Wenn man genau hinschaut, gibt es verblüffende Gemeinsamkeiten zwischen einem Hund und einem Informationssicherheits-Managementsystem (ISMS).

Anmerkung, dies ist ein metaphorischer Vergleich, der alleine der Awareness für mehr Informationssicherheit dient!

Hier meine Erkenntnisse:

Schutz vor Bedrohungen
Beide dienen dem Schutz vor potenziellen Bedrohungen. Der Hund schützt Ihr Zuhause und Ihre Familie vor Eindringlingen oder Gefahren, während ein ISMS entwickelt wurde, um die Informationen und Daten einer Organisation vor unbefugtem Zugriff, Datenverlust oder anderen Sicherheitsrisiken zu schützen.

Überwachung der Umgebung
Sowohl der Hund als auch ein ISMS überwachen kontinuierlich die Umgebung. Der Hund kann auf verdächtige Geräusche oder Bewegungen reagieren und Sie warnen. Ein ISMS überwacht und analysiert Netzwerkaktivitäten, um potenzielle Sicherheitsverletzungen oder Angriffe zu erkennen.

Reaktion auf Vorfälle
Der Hund als auch ein ISMS sind darauf ausgerichtet, angemessen auf Vorfälle zu reagieren. Wenn Ihr Hund eine Bedrohung wahrnimmt, kann er aktiv werden, indem er bellt oder sich verteidigt. Ein ISMS verfügt über Richtlinien und Verfahren, um auf Sicherheitsvorfälle zu reagieren, einschließlich der Isolierung von betroffenen Systemen, der Untersuchung des Vorfalls und der Wiederherstellung der Sicherheit.

Training und Aufmerksamkeit
Der Hund sowie das ISMS erfordern Training und kontinuierliche Aufmerksamkeit. Der Hund muss trainiert werden, um bestimmte Verhaltensweisen zu erlernen und zu gehorchen. Ebenso erfordert ein ISMS Schulungen für Mitarbeiter, um Sicherheitsbewusstsein zu schaffen und Best Practices im Umgang mit sensiblen Informationen zu vermitteln.

Kontrolle
Sowohl der Hund als auch ein ISMS bieten Kontrolle und Sicherheit. Der Hund kann dazu beitragen, das Verhalten anderer zu kontrollieren, z. B. indem er aufhört zu bellen, wenn Sie ihm sagen, dass er ruhig sein soll. Ein ISMS bietet Kontrolle über den Zugriff auf vertrauliche Informationen, indem es Richtlinien und Verfahren für den Zugriff auf Informationen festlegt und durchsetzt.

Und je länger ich darüber nachdenke, desto mehr Gemeinsamkeiten fallen mir ein…

Vertrauen
Sowohl der Hund als auch ein ISMS bauen auf Vertrauen auf. Sie vertrauen darauf, dass der Hund Sie und Ihre Familie beschützt, während Sie schlafen oder nicht zu Hause sind. Ebenso vertrauen Sie darauf, dass ein ISMS Ihre Daten und Informationen vor unbefugtem Zugriff schützt.

Risikomanagement
Sowohl der Hund als auch ein ISMS unterstützen beim Risikomanagement. Der Hund kann dazu beitragen, das Risiko von Einbrüchen oder anderen Bedrohungen für Ihr Zuhause zu reduzieren. Ein ISMS hilft dabei, Risiken im Zusammenhang mit der Informationssicherheit zu identifizieren, zu bewerten und zu bewältigen, um das Risiko von Sicherheitsverletzungen zu minimieren.

Proaktivität
Ein ISMS muss proaktiv sein. Der Hund kann darauf trainiert werden, potenzielle Gefahren zu erkennen, bevor sie auftreten, indem er beispielsweise bei verdächtigen Geräuschen bellt. Ein ISMS kann auch proaktiv sein, indem es Systeme und Netzwerke kontinuierlich überwacht, um potenzielle Sicherheitsrisiken zu erkennen und zu verhindern. Durch Mitarbeiterschulung, Richtlinien und Verfahren werden proaktiv Maßnahmen zum Schutz der Informationssicherheit ergriffen.

Zusammenhalt
Gemeinsam stark. Egal ob Team Mensch & Hund oder unser Informationssicherheitsteam. Wer erfolgreich sein möchte, sollte ein Team bilden und gemeinsam handeln.

Nun bleibt nur noch zu klären, wer der Hund auf dem Bild ist?

Kalli ist unser Bürohund und sorgt als angestellter Life-Balance Coach (Bezahlung = Leckerlies) für ein angenehmes Klima, entspanntes Miteinander und regelmäßige Pausen sowie Spaziergänge und Bewegung an der frischen Luft.

Informationssicherheit mit NormTracker

#ISMS Einführung und Betrieb leicht gemacht, mit unserem NormTracker Pro – der schnellste und einfachste Weg zur Informationssicherheit.

• Geführte Checklisten
• Schritt-für-Schritt Anleitungen
• Dokumentenvorlagen
• Testpläne
• Dokumentenprüfung
• Gratis Assessment durch einen Experten
• individuell auf Ihre Gegebenheiten angepasst

Starten Sie nicht bei Null und profitieren auch Sie von unserer hohen Null-Fehler-Auditquote!

Informationen und Testaccounts unter hello@certvision.de.

Vorlagenpaket für ein ISMS gemäß VDA ISA / TISAX®

ISMS-Quick Start Programm – Für Ihren schnellen, sicheren und vereinfachten Start in die Informationssicherheit

Sie haben sich dazu entschieden, ein Informationssicherheits-Managementsystem (ISMS) umzusetzen oder wurden sogar von Ihrem Kunden dazu verpflichtet, die hohen Anforderungen an die Informationssicherheit zu erfüllen? Sie wollen nun handeln, schnell und ohne Umwege zum Erfolg gelangen? Mit unserem umfangreichen und von Experten mitentwickelten NormTracker Vorlagenpaket erhalten Sie toolgestützt die beste Schritt-für-Schritt Anleitung zu einem gelebten Informationssicherheits-Managementsystems zum Beispiel nach VDA ISA / TISAX®.

Fangen Sie nicht bei Null an und starten Sie direkt durch!

Mit unserem Voralgenpaket erhalten Sie nicht nur ein umfangreiches Dokumentenvorlagenpaket für den dokumentierten ISMS Aufbau, wir bieten Ihnen zudem eine toolgestützte und vorbereitete ISMS Struktur inklusive Aufgabenpaketen, sinnvollen Vorbefüllungsbeispielen und persönlicher Begleitung bei Fragen rund um die Informationssicherheit. Mit unserem ISMS-Quick Start Programm setzen Sie nicht nur ein ISMS um, sondern gelangen vereinfacht und gesteuert, mit verringertem Aufwand zu einem gelebten Managementsystem.

Jetzt neu – Unser dreimonatiges Schnupperpaket

Bereits ab 499,00 Euro erhalten Sie einen dreimonatigen Zugang zu unserem bewährten NormTracker System. Besuchen Sie zudem unsere inbegriffenen Intesivworkshops, erhalten Sie passende Aufgabenpakete, eine perfekt auf Ihr Projekt vorbereitete Datenbank sowie einen persönlichen Kick-Off-Workshop. Bei Bedarf stellen wir Ihnen zusätzliche Checklisten und ISMS Life Hacks sowie Coaches zur Verfügung und erstellen Ihnen einen individuellen Erfolgsplan zur Erreichung des TISAX® Labels.


Für mehr Infos, unverbindliche Angebote, Livedemos und Mustervorlagen freuen wir uns auf Ihre Nachricht an unser Experten-Team.

Rechtliche Hinweise:

TISAX® ist eine eingetragene Marke der ENX Association. Zwischen der CertVision GmbH und der ENX Association besteht hinsichtlich der vorstehend beschriebenen Leistungen keine rechtliche oder sonstige wirtschaftliche Beziehung. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.

Aktualisierung – VDA ISA 5.1 / TISAX®

Was hat sich geändert?

Gerade noch im Zertifizierungsaudit zur VDA ISA 5.0.4 gesessen und bereits eine Woche später schleicht sich klammheimlich die Version 5.1 heran. Mein erster Gedanke „Was hat sich denn nun schon wieder verändert?“, denn gefühlt wird keine andere Norm so häufig aktualisiert, wie die VDA ISA.

Laut dem Registerblatt Änderungshistorie im VDA ISA Katalog 5.1 wurde gar nicht so viel verändert. Hier ein kurzer Überblick:

  • Korrektur Rechtschreibung und Ausdruck, sprachliche Klarstellung, Beseitigung von Uneindeutigkeiten
  • Neustrukturierung Tabellenblatt „Willkommen“, Definition der Teballenblätter in „Definition“ verschoben
  • Ergänzung der Schutzziele bezüglich Anforderungen für hohen und sehr hohen Schutzbedarf im Tabellenblatt „Informationssicherheit“
  • Entfernen der Spalte „Adressierte Schutzziele“ in den Tabellenblätter „Informationssicherheit“ und „Prototypenschutz“
  • Inhalte der Spalte „Üblicher Prozessverantwortlicher“ in den Tabellenblättern „Informationssicherheit“ und „Prototypenschutz“ geleert

Halten wir fest, kleine Schönheitsreperaturen wurden durchgeführt, die addressierten Schutzziele (Vertraulichkeit, Verfügbarkeit, Integrität) wurden an die Anforderungen direkt rangehängt sowie die Hilfestellungen durch Vorbefüllung der üblichen Prozessverantwortlichen herausgenommen.

War das wirklich schon alles?

Bei einem zweiten Blick erhasche ich jedoch noch weitere Punkte, die in der Änderungshistorie glatt vergessen wurden. Kommt also bald die Version 5.1.1 mit Korrektur der Änderungshistorie heraus? Wir werden es sehen.

Welche wichtigen Änderungen gab es noch zur Vorgängerversion 5.0.4?

  • Anforderung 3.1.3 unter sehr hohem Schutzbedarf scheint zukünftig nicht mehr erforderlich zu sein und wurde herausgenommen (zur Erinnerung: „Die Entsorgung von Informationsträgern erfolgt gemäß eines der gängigen Standards (z. B. ISO21964, mind. Sicherheitsstufe 5)“)
  • Anforderung 4.2.1 unter hohem Schutzbedarf wurde nun zu sehr hohem Schutzbedarf verschoben
  • Anforderung 5.1.2 unter hohem Schutzbedarf wurde ebenfalls zu sehr hohem Schutzbedarf verschoben

Aktualisiserung NormTracker – Normen-Modul 5.0 zu 5.1

Natürlich haben wir im NormTracker bereits auf die Aktualisierung reagiert, die Änderungen entsprechend angepasst und den neuen Audit-Report VDA ISA 5.1 für Ihre Auswertung der Gesamtergebnisse hinterlegt.

NormTracker Anwender bekommen die durchgeführte Aktualisierung gar nicht mit. Genau so still und heinlich wie die Aktualisiserung des VDA ISA Katalogs 5.1 fand auch die Aktualisierung im Tool statt. Als NormTracker Anwender nutzen Sie Ihre Datenbank wie gewohnt weiter und müssen nichts weiter tun.

Für alle Neukunden, Interessenten und Partnerberater gillt: Ergebnisse früherer Versionen ab 4.1. sowie Auditreports und Auswertungen, können problemlos in die aktuelle NormTracker VDA ISA 5.1 übernommen werden, sprechen Sie mich gerne auf Datenübernahme und Importe an.

Entscheiden Sie sich jetzt noch für einen kostenlosen Testaccount. Wenden Sie sich an hello@certvision.de!

Rechtliche Hinweise:

TISAX® ist eine eingetragene Marke der ENX Association. Zwischen der CertVision GmbH und der ENX Association besteht hinsichtlich der vorstehend beschriebenen Leistungen keine rechtliche oder sonstige wirtschaftliche Beziehung. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.

Was ist KRITIS?

Wofür steht eigentlich KRITIS und was steckt dahinter? Alle Hintergründe und die Basics zu KRITIS erläutern wir Ihnen im folgenden spannenden Beitrag. Bin ich KRITIS – mit praktischer Analyse-Tabelle!

KRITIS steht für Kritische Infrastruktur. Dazu zählen laut Definition vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie Bundesamt für Sicherheit in der Informationstechnik (BSI) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Soweit so gut. Schauen wir uns das im Folgenden etwas genauer an.

In Deutschland werden Organisationen und Einrichtungen aus den Bereichen Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur zu den Kritischen Infrastrukturen gezählt.1 Diese in 2009 von der Bundesregierung verabschiedeten Bereiche werden wiederum in Sektoren unterteilt. Hier lohnt es sich einen genaueren Blick hineinzuwerfen, denn nicht jeder, der sich beispielsweise zum Bereich Gesundheit zählt, ist automatisch KRITIS. Dazu später mehr.

Worum geht es konkret bei KRITIS?

Es geht bei KRITIS um die Gewährleistung, dass im Ausnahmezustand die Dienstleistungen/Produkte der KRITIS Betreiber weiterhin zur Verfügung stehen. Die Betreiber Kritischer Infrastrukturen sollen durch geeignete technische und organisatorische Maßnahmen die Bedrohungen auf die IT reduzieren oder sogar eliminieren können. In Ausnahme -bzw. Krisensituationen muss die Organisation oder Einrichtung weiterhin handlungsfähig bleiben. Die IT kann wesentlich durch Hackerangriffe, feindliche Staaten sowie Naturkatastrophen und andere Elementare Gefährdungen bedroht werden, wie beispielsweise Stromausfall, Hochwasser und Feuer.

Die Wiederstandfähigkeit der IT und die Absicherung der kritischen Infrastruktur durch geeignete und empfohlene Maßnahmen wird wiederum in regelmäßigen Audits geprüft. KRITIS Betreiber müssen alle drei Jahre einen Auditierungsnachweis erbringen.

Ferner ist die Rede davon, dass die IT dem Stand der Technik entsprechen muss, welcher das ist, kann zum Beispiel durch die Ableitung eines gängigen Standards (ISO/IEC 27001) ermittelt werden. Zu beachten ist nur, dass der „Stand der Technik“ in der Definition nie allgemeingültig ist und von Branche zu Branche unterschiedlich sein kann. Darüber hinaus unterliegen einige Branchen weiterer Standards bzw. Sicherheitsvorkehrungen, hierzu zählt unter anderem der B3S (Abk. für Branchenspezifische Sicherheitsstandards).2 Im B3S werden auf die jeweilige Branche angepasste Anforderungen an die Kritische Infrastruktur definiert.

Auch an dieser Stelle der Hinweis, dass der B3S ebenfalls nicht unbedingt von allen Organisationen und Einrichtungen der jeweiligen Branche/Sektoren umgesetzt werden muss.

Weiterhin gilt, dass KRITIS Betreiber eine Kontaktstelle benennen müssen, die eine Erreichbarkeit zu jeder Zeit ermöglicht. Zu melden ist diese Kontaktstelle auf der Meldeseite des BSI. Doch Obacht, über diese gemeldete Kontaktstelle hat die Kommunikation ausschließlich und 24/7 zu erfolgen, Außnahmen durch Feiertage, Betriebsferien oder ähnliches sind nicht gestattet. Meldet der KRITIS Betreiber jedoch keine Kontaktstelle, so muss er mit Bußgeldern rechnen. Zusammenschlüsse mehrerer Einheiten unter einer Kontaktstelle sind möglich.

KRITIS Betreiber unterliegen zudem einer Meldepflicht von Sicherheitsvorfällen sowie erheblicher IT-Störungen, die zu einem Ausfall führen können. Allerdings muss erst bei einem Ausfall die Meldung namentlich erfolgen, Störungen können zunächst auch anonym gemeldet werden.

Wer zu den KRITIS Betreibern gehört, sollte sich Unterstützung zur Umsetzung der geforderten Maßnahmen suchen. Unterstützung bietet zum Beispiel auch der UP KRITIS. Dieser ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen.3 Übrigens können auch kleinere Unternehmen, die zwar eine Kritische Infrastruktur haben, aber nicht unter KRITIS fallen, beim UP KRITIS aufgenommen werden. Die Teilnahme ist kostenfrei.

Ist man offiziell KRITIS Betreiber und erfüllt nicht alle geforderten technischen und/oder organisatorische Maßnahmen, so können ebenfalls Bußgelder verhängt werden. Diese erhöhen sich, wenn man diese selbst nach Aufforderungen durch das BSI nicht behebt. Wenn ein KRITIS Betreiber eine Maßnahme aufgrund von Kostengründen nicht umsetzen möchte, ist dies nicht zulässig.

Außerdem ist es ratsam, sich mit seiner Bedrohungslage auch dann auseinander zu setzen und entsprechende technische und organisatorische Maßnahmen anzunehmen, wenn man nicht unter KRITIS fällt. Wie Sie eine Risikoanalyse sinnvoll umsetzen, können Sie in diesen Beiträgen nachlesen:

Risikobewertung – Wissen wie es geht!

Risikomanagement – Und warum wir es lieben

Wie weiß ich nun, ob ich oder mein Kunde KRITIS ist oder nicht?

Informieren Sie sich zum Beispiel auf der Website des BSI und finden Sie heraus, ob Sie zu den aufgelisteten Sektoren zählen, die in §2 Absatz 10 des BSI-Gesetzes BSIG zu finden sind.4 Darüber hinaus müssen Sie den Versorgungsgrad ermitteln, eine bestimmte Mitarbeiteranzahl überschreiten sowie über 2 Mio. Jahresumsatz liegen. Nutzen Sie darüber hinaus unsere praktische KRITIS Analyse-Tafel, bei der Sie in fünf Schritten zum Ergebnis kommen.

NormTracker – Jetzt auch für ISO/IEC 27001!

Profitieren auch Sie von einer sicheren KRITIS Analyse und Umsetzung, wappnen Sie sich mit unserem cleveren ISMS-Tool NormTracker. Sie wollen mehr zum Thema KRITIS erfahren oder einen kostenlosen Testaccount? Kontaktieren Sie uns!

Bin ich KRITIS? Hier in 5 Schritten KRITIS analysieren!

Quellen:

1 KRITIS https://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/einfuehrung_node.html

2 B3S https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/B3S_Orientierungshilfe.pdf?__blob=publicationFile

3 UP KRITIS https://www.kritis.bund.de/SubSites/Kritis/DE/Aktivitaeten/Nationales/UPK/upk_node.html

4 BSIG https://www.gesetze-im-internet.de/bsig_2009/__2.html

KHZG Krankenhauszukunftsgesetz

umfassende Unterstützung vom Förderantrag bis zur Umsetzung

Das Krankenhauszukunftsgesetz (KHZG) ist im September 2020 in Kraft getreten und soll maßgeblichen zur Digitalisierung in Krankenhäusern beitragen. Über den Krankenhauszukunftsfonds (KHZF) wird eine finanzielle Hilfe von über 4,3 Milliarden Euro von Bund und Ländern zur Verfügung gestellt. Investiert werden soll in moderne Notfallkapazitäten, IT-Sicherheit und Digitalisierungsvorhaben.

Wer nicht schnell genug ist, wird aus dem Fördertopf nichts mehr abbekommen, zudem ist bei den Förderanträgen Transparenz und professionelle Ausarbeitung erforderlich, um eine Bewilligung zu erhalten.

Neben dem Druck, die notwendigen Fördermittel zu erhalten, bedarf den Krankenhäusern an Experten KnowHow bei der ganzheitlichen Umsetzung, nicht zuletzt, um die hohen Sanktionen, die ab 2025 greifen werden, umgehen zu können.

In den vergangenen Wochen durften wir mehrere intensive und offene Gespräche mit IT-Leitern und Geschäftsführern aus dieser Branche führen, wir wollten die Herausforderungen besser verstehen und analysieren, mit dem Ziel, die passende Lösung bereitstellen zu können.

Bei uns erhälst Du die perfekte Lösung – alles aus einer Hand!

Gemeinsam mit der aConTech GmbH, Simon Projects GmbH und FUNDAMENTAL Consulting GmbH & Co. KG haben für Dich die optimalste Lösung gebaut, sodass Du alles aus einer Hand beziehen kannst, vom Förderantrag bis zur Umsetzung der geforderten Maßnahmen.

Worauf es Dir ankommt:

  • Beratung Fördermittelantrag zum Festpreis mit MUSS/KANN Kriterien-Liste und professioneller Ausarbeitung Deines Antrags
  • Erstellung umfangreicher IT-Sicherheitskonzepte mit Betrachtung der Maßnahmen auf technischer und organisatorischer Ebene sowie DSGVO Anforderungs-Mapping zu 365 Lösungen durch ausgewiesene Experten
  • ISMS Umsetzung nach B3S gemäß Verpflichtung §75c SGB V mit NormTracker; verschlüsselte Datenspeicherung auf der Microsoft Cloud-Plattform und sichere Anmeldung durch Azure Active Directory, DSGVO Konformität, SharePoint Online Integration, optimierte Kommunikation mit dem DSB
  • Soft- und Hardwareberatung inkl. Impelentierung und Schwachstellenanalysemanagement

Unser ISMS-Tool NormTracker bietet dabei die ideale Unterstützung, um den branchenspezifischen Standard B3S schnell, sicher und einfach umzusetzen.

50% Aufwandseinsparung bei der Umsetzung des ISMS

75% Kosteneinsparung beim Betrieb des ISMS

Bereits die ersten Krankenhäuser haben mit uns Digitalisierungs- und IT-Security-Vorhaben gestartet, Krankenhäuser, bei denen NormTracker im Einsatz ist, loben die enorme Zeiteinsparung und Leichtigkeit bei der B3S-Umsetzung mit der cloudbasierten Software.

Durch die intuitive Bedienung und moderne Kacheloptik, fühlen sich User schnell im Tool zurecht, sie werden bei den alltäglichen Dingen an die Hand genommen und durchgängig begleitet. Zudem können auch andere relevante Normen bestens in der Datenbank ergänzt werden, wodurch weitere QM-Tools obsolet werden.

Melde Dich bei uns für einen kostenlosen NormTracker-Testzugang sowie für ein unverbindliches Gespräch: hello@certvision.de

Wir wünschen Dir viel Erfolg!

Dein CertVision-Team

B3S in Krankenhäusern

Von 0 auf 100 mit NormTracker!

Immer mehr Branchen werden verpflichtet, ein gelebtes ISMS vorzuweisen, so nun auch Krankenhäuser und Kliniken. Gemäß §75c SGB V sind diese ab Januar 2022 verpflichtet, die hohen Anforderungen aus dem branchenspezifischen Sicherheitsstandard B3S zu erfüllen.

Krankenhäuser stehen unter massiven Zeitdruck und vor einem Berg an Anforderungen.

Trotz Fördergelder über 4,3 Milliarden Euro von Bund und Ländern, stehen Krankenhäuser und Kliniken vor einer Mammutaufgabe. Vor allem kleinen Häusern unter 250 Betten fehlen oft personelle Ressourcen, um das stemmen zu können.

In den vergangenen Wochen durften wir mehrere intensive und offene Gespräche mit IT-Leitern und Geschäftsführern aus dieser Branche führen, wir wollten die Herausforderungen besser verstehen und analysieren, mit dem Ziel, die passende Lösung bereitstellen zu können.

Jetzt sind wir uns sicher –NormTracker ist die Lösung!
50% Aufwandseinsparung bei der Umsetzung
75% Kosteneinsparung beim Betrieb des ISMS

Bereits die ersten Krankenhäuser haben ihr ISMS-Vorhaben mit NormTracker gestartet und loben die enorme Zeiteinsparung und Leichtigkeit bei der B3S-Umsetzung mit der cloudbasierten Software.

• Schnelle Einführung: Implementierung innerhalb weniger Minuten
• Höchste Verfügbarkeit: Datenspeicherung in modernsten Rechenzentren
• Nahtlose Integration: Alles in einem Tool & Integration ins bestehende DMS
• Volle Kontrolle durch:
⇨ geführte Anforderungschecklisten
⇨ professionell aufbereitete Dokumentenvorlagen
⇨ integriertes Risikomanagement & Maßnahmenplanung
• Fördermittelantrag zum Festpreis, mit MUSS/KANN-Einschätzung

Durch die intuitive Bedienung und moderne Kacheloptik, fühlen sich User schnell im Tool zurecht, sie werden bei den alltäglichen Dingen an die Hand genommen und durchgängig begleitet. Zudem können auch andere relevante Normen bestens in der Datenbank ergänzt werden, wodurch weitere QM-Tools obsolet werden.

Melde Dich bei uns für einen kostenlosen Testzugang: hello@certvision.de

Wir wünschen Dir viel Erfolg bei der ISMS-Umsetzung und stehen für Fragen und alle weiteren Anliegen gerne zur Verfügung!

Dein CertVision-Team