KRITIS-Betreiber oder die mit ihnen verbundenen Branchen können einen „branchenspezifischen Sicherheitsstandard“ (B3S) konkretisieren, um höchste Anforderungen zu erfüllen, die dann zur Bewertung an das BSI geschickt werden. Dies ist nicht verpflichtend, gibt aber Fachleuten die Möglichkeit, ihre eigenen Spezifikationen mit Hilfe von Fachwissen zu formulieren und bietet Rechtssicherheit, wenn sie gegen anerkannte B3S Standards geprüft werden.
Krankenhäuser stehen unter enormem Druck, um zu beweisen, dass ihre IT-Systeme und -Prozesse den höchsten Sicherheitsstandards entsprechen, wie vom Bundesamt für Sicherheit in der Informationstechnik vorgeschrieben. Um den Betrieb kritischer Infrastrukturen vor Cyberangriffen zu schützen, müssen Krankenhäuser bei der Abwehr potenzieller Bedrohungen wachsam bleiben.
B3S führt ein Information Security Management System (ISMS) ein, um einen transparenten Sicherheitsstandard zu schaffen. Dieses System basiert auf den Standards des deutschen Bundesamts für Sicherheit in der Informationstechnik und orientiert sich an globalen Protokollen wie ISO 27001 und 27799, was den Kunden die Gewissheit gibt, dass ihre Daten sicher bleiben.
Betreiber kritischer Infrastrukturen und ihre Branchenverbände haben die Möglichkeit zu zeigen, dass sie die Bestimmungen von § 8a (1) BSIG proaktiv einhalten. Eine solche Einhaltung hat zahlreiche Vorteile:
Damit Unternehmen die Sicherheitsanforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllen können, bieten wir einen umfassenden zweistufigen Prozess an, der auf anerkannten Standards wie ISO 27001 und B3S sowie auf unseren Erfahrungen aus anderen KRITIS-Sektoren wie Wasser, Energie und Verkehr basiert.
In Stufe 1 werden Bewertungen vorgenommen, während Stufe 2 weitere Schritte einschließlich Tests umfasst. Nach Abschluss des Verfahrens erhalten Sie den Nachweis (§ 8a BSIG), dass Ihr Unternehmen alle relevanten Anforderungen des BSI-Auditleitfadens erfüllt.
Die Dr. Michael Gorski Consulting GmbH verfügt über umfangreiche Erfahrungen in verschiedenen Branchen und kann auf bewährte Lösungsansätze zurückgreifen, um maßgeschneiderte IT-Sicherheitsstrategien zu entwickeln.
Die Dr. Michael Gorski Consulting GmbH legt großen Wert darauf, die individuellen Bedürfnisse und Anforderungen jedes Kunden zu verstehen und darauf basierend maßgeschneiderte Lösungen zu entwickeln.
Die Zusammenarbeit mit der Dr. Michael Gorski Consulting GmbH geht über die reine Beratung hinaus, indem das Unternehmen eine langfristige Partnerschaft anstrebt, um Kunden kontinuierlich bei der Umsetzung und Optimierung ihrer IT-Sicherheitsstrategien zu unterstützen.
Die Berater der Dr. Michael Gorski Consulting GmbH sind hochqualifizierte Experten auf ihrem Gebiet und verfügen über fundierte Kenntnisse und Erfahrungen in der IT-Sicherheit.
Unsere erfahrenen IT-Sicherheitsberater sind mit den Risiken, Chancen und Compliance-Anforderungen von KMUs, Unternehmen und Behörden bestens vertraut. Nutzen Sie unsere spezialisierte Beratung, um sicherzustellen, dass Ihr Unternehmen von einem optimalen Schutz vor potenziellen Bedrohungen profitiert.
Unser Expertenteam bietet eine maßgeschneiderte Sicherheitsstrategie, um sicherzustellen, dass Ihr Unternehmen gegen alle Risiken geschützt ist. Unsere Lösungen maximieren die Konformität mit den Anforderungen der Branche, dem B3S-Standard und sind gleichzeitig auf die Ziele Ihres Unternehmens abgestimmt.
Unser erfahrenes technisches Team untersucht Ihre IT, Ihre Infrastruktur und Ihre Schnittstellen eingehend, um die notwendigen Sicherheitsanforderungen zu ermitteln. Wir gehen über die traditionellen Maßnahmen zur Überprüfung der Einhaltung von IT-Compliance Vorschriften hinaus und geben Ihnen die Gewissheit, dass eine umfassende Risikobewertung auf der Grundlage der besten Praktiken der Branche vorliegt.
Auf Basis Ihrer Anforderungen erstellen wir ein IT-Sicherheitskonzept. Wir entwickeln ein umfassendes Konzept, das geeignete Optionen für die Umsetzung aufzeigt. Das letzte Wort haben Sie!
Alle notwendigen Maßnahmen werden – von kurzfristigen bis hin zu langfristigen Sicherheitsmaßnahmen – entwickelt und sorgfältig umgesetzt. Technische Aspekte werden nahtlos mit organisatorischen, personellen und infrastrukturellen Überlegungen kombiniert, um einen maximalen Schutz vor den identifizierten Risiken zu gewährleisten.
Unser erfahrenes Team sorgt dafür, dass Sie bei der Umstellung auf einen produktiven Betrieb die beste Unterstützung erhalten – für den Erfolg aller Beteiligten! Darüber hinaus bieten wir regelmäßige Berichte mit entsprechender Dokumentation sowie spezielle Kommunikationskanäle wie Statusberichte, damit Schwachstellen schnell behoben werden können und Sie immer auf dem aktuellen Stand sind.
Mit einem kontinuierlichen Verbesserungsprozess (KVP) sorgt die Überwachung im laufenden Betrieb dafür, dass das IT-Sicherheitskonzept stets auf dem neuesten Stand ist. Die regelmäßige Analyse der Umsetzung und der festgelegten Leistungskennzahlen (KPIs) ermöglicht es uns, auf Schwachstellen zu reagieren oder neu erkannte Sicherheitslücken für weitere Optimierungen zu nutzen.
Wir bieten Ihnen umfassende strategische End-to-End-Unterstützung im Bereich der Informationssicherheit – von der ersten Planung bis zur erfolgreichen Implementierung. Unser Team steht Ihnen dabei als zuverlässiger Partner und Berater zur Seite.
Gerne beantworten wir Ihre Fragen und erstellen Ihnen ein individuelles Angebot.
Die Sicherheitsanforderungen und Maßnahmen zur Einhaltung von Abschnitt 8a (1) BSIG können je nach Branche unterschiedlich sein. B3S, die in der Regel nicht von Normungsorganisationen verfasst werden, sondern durch kollektive Bemühungen von Branchenvertretern konzeptionell aufgebaut werden, bieten eine Möglichkeit, diese Kriterien zu erfüllen. Es ist zwar möglich, dass es in einem Sektor mehrere solcher Dokumente gibt, einschließlich solcher, die auf bestimmte Umgebungen oder Situationen zugeschnitten sind, aber es besteht weder eine gesetzliche Verpflichtung, ein B3S zu entwickeln, noch müssen sich CRITIS-Betreiber an ein solches Dokument halten, selbst wenn es für ihren jeweiligen Bereich verfügbar ist.
Jeder Betreiber ist dafür verantwortlich, ein B3S zu verwenden, das seinen individuellen Bedürfnissen entspricht. Die gewählten Maßnahmen müssen wirksam und zuverlässig sein, um den Anforderungen an die Sicherheit zu genügen; eine Verpflichtung, die allein dem Betreiber obliegt.
Branchenspezifischen Sicherheitsstandards existierten für folgende Sektoren:
Unser Team hat große Erfahrung in der Durchführung von Sicherheitsaudits, Tests und Zertifizierungen für KRITIS-Betreiber. Wir stellen sicher, dass alle Prozesse den hohen Standards des BSI entsprechen – von den Anforderungen der ISO 27001 bis hin zu speziellen Prüfverfahren, die speziell für KRITIS-Sektoren wie Wasserlieferungen oder Transportsysteme entwickelt wurden. Aufgrund unserer bewährten Methoden sind wir vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als akkreditierte Zertifizierungsstelle mit voller Kompetenz anerkannt worden.
Ein B3S muss alle zwei Jahre überprüft werden, um sicherzustellen, dass er noch auf dem neuesten Stand der Sicherheitsbedrohungen und der für einen optimalen Schutz erforderlichen Maßnahmen ist.
Wenn eine Bewertung eines B3S nicht mehr den aktuellen Standards entspricht, behält sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Recht vor, die Zulassung zu widerrufen. Dies geschieht jedoch nicht automatisch – wenn Änderungen erforderlich sind, müssen beide Seiten aktiv werden. Es sind auch keine Übergangsfristen erforderlich, um die Eignung im Hinblick auf die Zertifizierungsanforderungen des IT-Grundschutzes zu prüfen.
Um die zweijährige Eignungsprüfung des BSI zu bestehen, müssen Unternehmen kontinuierlich nachweisen, dass ihre im Baseline Security Standard (B3S) beschriebenen Sicherheitsmaßnahmen modernen Standards entsprechen. Gemäß § 8a der BSIG-Gesetz müssen Unternehmen regelmäßig überprüfen, ob diese Maßnahmen zur IT-Sicherheit aktuell und auf dem neuesten Stand sind.
Die Umsetzung eines B3S ist nicht verpflichtend, bietet Unternehmen jedoch den ultimativen Schutz, wenn es um die Einhaltung aktueller Sicherheitsstandards geht. Durch den Einsatz dieses Systems können Unternehmen sicherstellen, dass sie die Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllen und Rechtssicherheit in ihren jeweiligen Bereichen genießen. So können sie sich beruhigt zurücklehnen und ihre Daten vor unbefugtem Zugriff oder anderen bösartigen Aktivitäten schützen.
Der Betreiber einer kritischen Infrastruktur, wie sie von der BSIG definiert wird, ist letztendlich für die Einhaltung von Abschnitt 8a (1) in Bezug auf seinen eigenen Betrieb verantwortlich. Wenn er sich stattdessen dafür entscheidet, Teile dieser Arbeit auszulagern, wird empfohlen, die Anforderungen an die Umsetzung in den entsprechenden Verträgen mit Dritten klar zu formulieren. Das Gleiche gilt, wenn die Auslagerung von IT-Dienstleistungen auch für den Betrieb kritischer Infrastrukturen erforderlich ist. Allerdings sind Beschaffungen für andere öffentliche Dienstleistungen ausgenommen, es sei denn, sie stehen in direktem Zusammenhang mit der Kerndienstleistung selbst.
Der Begriff „Stand der Technik“ beschreibt den neuesten Stand der Entwicklung in einem Gerät, einem Bereich oder einer Technik. Es ist ein häufig verwendeter Begriff, der bedeutet, dass ein Produkt mit den zum jeweiligen Zeitpunkt verfügbaren modernen Technologien und Methoden innovativ hergestellt wurde.
Durch die Entwicklung eines B3S erhalten die Betreiber einen organisierten Leitfaden zur Ermittlung der notwendigen Schutzziele und Risiken. Diese Anforderungen können von technischen Spezifikationen bis hin zur Verwendung bestimmter Methoden oder Verfahren reichen. Dieser Ansatz ist über mehrere IT-Rahmenwerke hinweg anwendbar und ermöglicht eine größere Autonomie bei der Umsetzung durch auf Sicherheitsumgebungen spezialisierte Betreiber.
In einer Branche können mehrere B3S zulässig sein, wenn bestimmte Bereiche des Systems spezielle Sicherheitsprotokolle erfordern. Außerdem behält jeder Autor das Eigentum an seinen jeweiligen Entwürfen, während Betreiber in diesem Bereich möglicherweise nicht auf alle verfügbaren Modelle zugreifen können.
