Schlagwort-Archiv KRITIS

NIS 2-Richtlinie sinnvoll umsetzen

In diesem Beitrag erläutern wir, was die NIS 2-Richtlinie eingentlich von Ihnen als wichtige oder besonders wichtige Einrichtung verlangt und wie Sie ganz einfach die Anforderungen der NIS 2-Richtlinie mit NormTracker erfüllen werden.

Unternehmen, die der NIS 2-Richtlinie unterliegen, müssen Sicherheitsanforderungen erfüllen, um ein gemeinsames Netz- und Informationssicherheitsniveau in der EU sicherzustellen. Die genauen Anforderungen variieren je nach nationaler Umsetzung und Unternehmensart. Die NIS 2 unterscheidet in 18 wichtige und besonders wichtige Sektoren. Diese Sektoren zählen zur kritischen Infrastruktur (KRITIS) und haben sich durch die NIS 2-Richtlinie noch einmal deutlich ausgeweitet. Zwischen 29.000 und 40.000 Unternehmen in Deutschland sind voraussichtlich von NIS 2 betroffen und müssen ein Informationssicherheitsmanagementsystem (ISMS) einführen, um den gesetzlichen Vorgaben gerecht zu werden. Das bedeutet, dass Die folgenden fünf wesentlichen Anforderungen erfüllt werden müssen:

  1. Cybersecurity Governance / Informationssicherheits-managementsystem (ISMS):
    • Betrieb eines ISMS nach einem anerkannten Standard.
    • Wichtige Einrichtungen müssen Risikomanagementmaßnahmen umsetzen und über Cybersicherheit berichten.
    • Leitungsorgane sind für die Umsetzung verantwortlich und haftbar nach nationalem Recht.
  2. Cybersecurity Prevention:
    • Unternehmen müssen technische und organisatorische Maßnahmen gemäß dem Stand der Technik ergreifen.
    • Die Angemessenheit richtet sich nach individueller Risikoexposition.
  3. Vorfall-Management:
    • Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden.
    • Effektive Verfahren zur Meldung und Behebung von Sicherheitsvorfällen sind erforderlich.
  4. Business Continuity Management (BCM):
    • Business Continuity Management umfasst die Formulierung von Strategien, Plänen und Maßnahmen, die sicherstellen sollen, dass ein Unternehmen auch während Störungen, Krisen oder Katastrophen seine operativen Aktivitäten effektiv aufrechterhalten kann.
    • NIS 2 legt pragmatische Anforderungen an das BCM fest, um Bürokratie zu vermeiden.
    • Der gefahrenübergreifende Ansatz umfasst Netz- und Informationssicherheit sowie die physische Umwelt.
  5. Zusammenarbeit mit zuständigen Behörden:
    • Unternehmen müssen mit nationalen Behörden kooperieren und über Sicherheitsvorfälle informieren.
    • NIS 2 bietet Behörden umfassende Durchsetzungsbefugnisse mit Sanktionen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen und sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes für wichtige Unternehmen.

Mit NormTracker bieten wir Ihnen eine aufgabengelenkte Vorgehensweise, um zum Beispiel ein ISMS nach ISO27001, VdS10000 oder VDA ISA 6.0 simpel, zeit- und aufwandseinsparend umzusetzen. Mit unserem Business Continuity Management (BCM) Modul, als z.B. Add-On zu Ihrem ISMS, erhalten Sie zudem eine super Anleitung, um Ihre Geschäftsprozesse zu härten und sich auf Krisen und Notfälle bestens vorzubereiten. Führen Sie einen transparenten Nachweis über die erforderlichen ToDos und behalten Sie den Überblick. Das integrierte ISMS-Dokumentenvorlagenpaket, vorbefüllte Maßnahmen- und Gefährdungskataloge sorgen für noch mehr Geschwindigkeit.

Sie möchten NormTracker in Aktion sehen? Dann kommen Sie auf uns für Livedemos und kostenlose Testzugänge zu und schreiben uns eine E-Mail an hello@certvision.de.

Oder besuchen Sie eines unserer regelmäßigen Webinare zur Einführung und dem Betrieb eines ISMS.

Was ist KRITIS?

Wofür steht eigentlich KRITIS und was steckt dahinter? Alle Hintergründe und die Basics zu KRITIS erläutern wir Ihnen im folgenden spannenden Beitrag. Bin ich KRITIS – mit praktischer Analyse-Tabelle!

KRITIS steht für Kritische Infrastruktur. Dazu zählen laut Definition vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie Bundesamt für Sicherheit in der Informationstechnik (BSI) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Soweit so gut. Schauen wir uns das im Folgenden etwas genauer an.

In Deutschland werden Organisationen und Einrichtungen aus den Bereichen Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur zu den Kritischen Infrastrukturen gezählt.1 Diese in 2009 von der Bundesregierung verabschiedeten Bereiche werden wiederum in Sektoren unterteilt. Hier lohnt es sich einen genaueren Blick hineinzuwerfen, denn nicht jeder, der sich beispielsweise zum Bereich Gesundheit zählt, ist automatisch KRITIS. Dazu später mehr.

Worum geht es konkret bei KRITIS?

Es geht bei KRITIS um die Gewährleistung, dass im Ausnahmezustand die Dienstleistungen/Produkte der KRITIS Betreiber weiterhin zur Verfügung stehen. Die Betreiber Kritischer Infrastrukturen sollen durch geeignete technische und organisatorische Maßnahmen die Bedrohungen auf die IT reduzieren oder sogar eliminieren können. In Ausnahme -bzw. Krisensituationen muss die Organisation oder Einrichtung weiterhin handlungsfähig bleiben. Die IT kann wesentlich durch Hackerangriffe, feindliche Staaten sowie Naturkatastrophen und andere Elementare Gefährdungen bedroht werden, wie beispielsweise Stromausfall, Hochwasser und Feuer.

Die Wiederstandfähigkeit der IT und die Absicherung der kritischen Infrastruktur durch geeignete und empfohlene Maßnahmen wird wiederum in regelmäßigen Audits geprüft. KRITIS Betreiber müssen alle drei Jahre einen Auditierungsnachweis erbringen.

Ferner ist die Rede davon, dass die IT dem Stand der Technik entsprechen muss, welcher das ist, kann zum Beispiel durch die Ableitung eines gängigen Standards (ISO/IEC 27001) ermittelt werden. Zu beachten ist nur, dass der „Stand der Technik“ in der Definition nie allgemeingültig ist und von Branche zu Branche unterschiedlich sein kann. Darüber hinaus unterliegen einige Branchen weiterer Standards bzw. Sicherheitsvorkehrungen, hierzu zählt unter anderem der B3S (Abk. für Branchenspezifische Sicherheitsstandards).2 Im B3S werden auf die jeweilige Branche angepasste Anforderungen an die Kritische Infrastruktur definiert.

Auch an dieser Stelle der Hinweis, dass der B3S ebenfalls nicht unbedingt von allen Organisationen und Einrichtungen der jeweiligen Branche/Sektoren umgesetzt werden muss.

Weiterhin gilt, dass KRITIS Betreiber eine Kontaktstelle benennen müssen, die eine Erreichbarkeit zu jeder Zeit ermöglicht. Zu melden ist diese Kontaktstelle auf der Meldeseite des BSI. Doch Obacht, über diese gemeldete Kontaktstelle hat die Kommunikation ausschließlich und 24/7 zu erfolgen, Außnahmen durch Feiertage, Betriebsferien oder ähnliches sind nicht gestattet. Meldet der KRITIS Betreiber jedoch keine Kontaktstelle, so muss er mit Bußgeldern rechnen. Zusammenschlüsse mehrerer Einheiten unter einer Kontaktstelle sind möglich.

KRITIS Betreiber unterliegen zudem einer Meldepflicht von Sicherheitsvorfällen sowie erheblicher IT-Störungen, die zu einem Ausfall führen können. Allerdings muss erst bei einem Ausfall die Meldung namentlich erfolgen, Störungen können zunächst auch anonym gemeldet werden.

Wer zu den KRITIS Betreibern gehört, sollte sich Unterstützung zur Umsetzung der geforderten Maßnahmen suchen. Unterstützung bietet zum Beispiel auch der UP KRITIS. Dieser ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen.3 Übrigens können auch kleinere Unternehmen, die zwar eine Kritische Infrastruktur haben, aber nicht unter KRITIS fallen, beim UP KRITIS aufgenommen werden. Die Teilnahme ist kostenfrei.

Ist man offiziell KRITIS Betreiber und erfüllt nicht alle geforderten technischen und/oder organisatorische Maßnahmen, so können ebenfalls Bußgelder verhängt werden. Diese erhöhen sich, wenn man diese selbst nach Aufforderungen durch das BSI nicht behebt. Wenn ein KRITIS Betreiber eine Maßnahme aufgrund von Kostengründen nicht umsetzen möchte, ist dies nicht zulässig.

Außerdem ist es ratsam, sich mit seiner Bedrohungslage auch dann auseinander zu setzen und entsprechende technische und organisatorische Maßnahmen anzunehmen, wenn man nicht unter KRITIS fällt. Wie Sie eine Risikoanalyse sinnvoll umsetzen, können Sie in diesen Beiträgen nachlesen:

Risikobewertung – Wissen wie es geht!

Risikomanagement – Und warum wir es lieben

Wie weiß ich nun, ob ich oder mein Kunde KRITIS ist oder nicht?

Informieren Sie sich zum Beispiel auf der Website des BSI und finden Sie heraus, ob Sie zu den aufgelisteten Sektoren zählen, die in §2 Absatz 10 des BSI-Gesetzes BSIG zu finden sind.4 Darüber hinaus müssen Sie den Versorgungsgrad ermitteln, eine bestimmte Mitarbeiteranzahl überschreiten sowie über 2 Mio. Jahresumsatz liegen. Nutzen Sie darüber hinaus unsere praktische KRITIS Analyse-Tafel, bei der Sie in fünf Schritten zum Ergebnis kommen.

NormTracker – Jetzt auch für ISO/IEC 27001!

Profitieren auch Sie von einer sicheren KRITIS Analyse und Umsetzung, wappnen Sie sich mit unserem cleveren ISMS-Tool NormTracker. Sie wollen mehr zum Thema KRITIS erfahren oder einen kostenlosen Testaccount? Kontaktieren Sie uns!

Bin ich KRITIS? Hier in 5 Schritten KRITIS analysieren!

Quellen:

1 KRITIS https://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/einfuehrung_node.html

2 B3S https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/B3S_Orientierungshilfe.pdf?__blob=publicationFile

3 UP KRITIS https://www.kritis.bund.de/SubSites/Kritis/DE/Aktivitaeten/Nationales/UPK/upk_node.html

4 BSIG https://www.gesetze-im-internet.de/bsig_2009/__2.html