KRITIS-Betreiber stehen vor einer noch nie dagewesenen Herausforderung, ihre anfälligen Systeme vor Cyberangriffen zu schützen. Die Einhaltung der NIS- und der RCE-Richtlinie der EU sowie das kürzlich verabschiedete deutsche IT-Sicherheitsgesetz 2.0 stellen eine erhebliche Belastung für diese Organisationen dar, die strenge Sicherheitsmaßnahmen ergreifen müssen, um ihre Widerstandsfähigkeit gegen böswillige Akteure zu gewährleisten.
Zum Schutz kritischer Infrastrukturen werden strenge Vorschriften durchgesetzt: Verstöße gegen die BSIG- und KRITIS-Verordnung haben erhebliche Konsequenzen, da Ordnungswidrigkeiten mit Geldbußen von bis zu 2 Millionen Euro geahndet werden können. Die kürzlich eingeführten neuen Schwellenwerte haben dazu geführt, dass die Zahl der für den Schutz lebenswichtiger Infrastrukturen verantwortlichen Unternehmen stark gestiegen ist.
KRITIS-Einrichtungen spielen eine zentrale Rolle für die Sicherheit und Stabilität unserer Nation. Ihre Beeinträchtigung könnte verheerende Auswirkungen auf die Gesellschaft haben – von lang anhaltenden Versorgungsengpässen, die den Bürgern schaden, bis hin zu großen öffentlichen Unruhen mit weitreichenden Folgen.
Da die Welt immer mehr von der Technologie abhängig wird, ist IT-Security eine dringende Priorität für diejenigen, die für den Betrieb kritischer Infrastrukturen verantwortlich sind. Die KRITIS-Betreiber müssen sicherstellen, dass ihre Netzwerke vor Cyber-Bedrohungen geschützt sind, die weitreichende Störungen verursachen könnten. Zudem Branchen, für die KRITIS relevant ist zählen:
Unsere fachlichen und strategischen Kompetenzen ermöglichen es uns für Sie passende Strategien und Lösungsansätze für ihre IT-Security zu entwickeln und implementieren.
Wir sind ein Team aus Cyber Defense Experten, die mit Leidenschaft ihrem Beruf nachgehen. Wir unterstützen Start-ups bis Großkonzern aktiv in der Gestaltung ihrer Cybersecurity Strukturen und bieten dabei Erfahrung aus langjähriger Arbeit in unterschiedlichsten Unternehmensgrößen. Unternehmen aus der Bankenbranche und produzierenden Industrien profitieren von unseren Erfahrungen aus über 15 Jahren.
ISO/IEC 27001
ISO/IEC 27001 auf Basis des BSI-Grundschutz
TISAX
KRITIS (Zertifizierung nach IT-Sicherheitskatalog (§11 1a und 1b EnWg der BNetzA))
ISO 22301 (BCM)
Wir sind bundesweit tätig.
Remote und Vorort.
Unser Expertenteam arbeitet mit Ihrem Management zusammen, um die wichtigsten Voraussetzungen für die KRITIS Anforderungen zu ermitteln.
Um Ihren Erfolg zu gewährleisten, bewerten wir Ihre Anforderungen und führen ein internes Audit durch. Unser umfassender Bericht zeigt Verbesserungsmöglichkeiten auf und enthält praktische Lösungen, die Ihnen helfen, optimale Maßnahmen umsetzen zu können.
Gemeinsam können wir eine leistungsfähige Strategie entwickeln, die die erfolgreiche Implementierung von KRITIS Anforderungen gewährleistet. Mit der Auditvorbereitung sorgen wir dafür, dass Sie für die KRITIS Audit optimal aufgestellt sind.
Ein ISMS nach KRITIS Anforderungen muss alle drei Jahre neu bewertet werden. Unser umfassende KRITIS Beratung kann Ihnen dabei helfen, bei diesem ISMS die höchsten Sicherheitsstandards einzuhalten, so dass das Bestehen des Assessments immer ein Kinderspiel sein wird!
Gerne beantworten wir Ihre Fragen und erstellen Ihnen ein individuelles Angebot.
KRITIS Beratung bietet zahlreiche Vorteile im Bereich der IT-Sicherheit. Unsere IT-Experten verfügen über jahrelange Erfahrung im Bereich der IT-Sicherheit und haben einen umfassenden Ansatz entwickelt, der Unternehmen hilft, ihre IT-Umgebung vor externen Bedrohungen zu schützen. Wir bieten eine Reihe von Dienstleistungen an, die von der Risikobewertung bis zur Implementierung, Überwachung und Verwaltung von IT-Sicherheitsmaßnahmen reichen
Unsere Berater hilft Ihnen, IT-Risiken und -Schwachstellen zu ermitteln, die besten Sicherheitsmaßnahmen für Ihre IT-Umgebung zu bestimmen und IT-Sicherheitsrichtlinien zu entwickeln. Wir sind darauf spezialisiert, personalisierte IT-Sicherheitslösungen anzubieten, die auf die spezifischen Bedürfnisse von Unternehmen zugeschnitten sind. Unser Team von IT-Fachleuten kann auch IT-Support und Wartungsdienste anbieten, die eine sichere IT-Infrastruktur gewährleisten.
Im Jahr 2021 hat die Regierung die IT-Sicherheitsstandards mit einer aktualisierten KRITIS-Verordnung (1.5) weiter definiert. Diese Verordnung baut auf der vorherigen Version der Schwellenwerte und Anhänge auf und führt gleichzeitig Verfeinerungen in den bestehenden Sektoren ein, um sicherzustellen, dass alle Organisationen mit den modernen Sicherheitsmaßnahmen konform bleiben.
Als Ergebnis dieser Maßnahme können die Marktteilnehmer sicher sein, dass ihre Operationen inmitten der häufigen Aktualisierungen der BSI-Kritikalitätsvorschriften ab Januar 2022 sicher bleiben – und den Weg für einen noch robusteren Schutz im Jahr 2023 ebnen.
Das IT-Sicherheitsgesetz 2.0 hat den Schutz und die Integrität von Daten als oberste Priorität für KRITIS-Unternehmen in Deutschland fest verankert und verbesserte Schutzmaßnahmen eingeführt, um die Einhaltung modernster Verfahren auf allen Organisationsebenen zu gewährleisten. Die aktualisierte Gesetzgebung stellt einen wichtigen Meilenstein auf dem Weg zu einem umfassenden Ansatz zur Sicherung kritischer Infrastrukturen gegen moderne Bedrohungen dar.
Das IT-Sicherheitsgesetz 2.0 enthält Vorgaben für IT-Sicherheitszertifizierungen, die von IT-Systemen und IT-Verfahren der KRITIS-Unternehmen erfüllt werden müssen, um deren IT-Sicherheitsanforderungen zu gewährleisten. Außerdem enthält es einen Maßnahmenkatalog, der die notwendigen IT-Sicherheitsschritte zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von IT-Systemen festlegt.
Mit dem IT-Sicherheitsgesetz 2.0 werden auch zusätzliche Anforderungen an die IT-Infrastruktur, die Systemintegration und die IT-Wartungsprozesse eingeführt, um die Sicherheit der IT-Systeme und Daten zu gewährleisten. Dazu gehören verpflichtende IT-Sicherheitsprüfungen vor der Freigabe von Änderungen, regelmäßige IT-Sicherheitstests sowie eine angemessene IT-Sicherheitsschulung für IT-Personal.
Das IT-Sicherheitsgesetz 2.0 sorgt dafür, dass IT-Systeme und Daten vor Cyber-Bedrohungen geschützt bleiben und bietet IT-Sicherheit für Organisationen in Deutschland und darüber hinaus. Es dient auch als wichtige Erinnerung für alle IT-Fachleute an die Bedeutung der IT-Sicherheit im Umgang mit sensiblen Daten und Informationen. Mit einem umfassenden Ansatz zur IT-Sicherheit,
Als Reaktion auf die veränderte politische Landschaft hat das deutsche Innenministerium eine umfassende Überarbeitung der Gesetzgebung vorgenommen. Im Mai 2021 trat das IT-Sicherheitsgesetz 2.0 in Kraft, während im August die KRITIS-Verordnung 1.5 verabschiedet wurde, die die Zahl der Betreiber um mindestens 270% erhöht. Bis 2023 bzw. 2024 soll eine weitere KRITIS-Verordnung in Kraft treten sowie eine mögliche UBI-Verordnung, gefolgt von einer potenziellen Umsetzung der EU-VO in nationales Recht, wobei die erwartete NIE 2 noch näher am Horizont liegt, um den Weg für das IT-Sicherheitsgesetz 3.0 im Jahr 2025 zu ebnen – all dies ist Teil der umfassenden Bemühungen des Ministeriums um mehr Sicherheit in der kritischen Infrastruktur des Landes IT-Netze.
Kritische Infrastrukturen sind für die Sicherheit, die Wirtschaft und die öffentliche Gesundheit eines Landes von entscheidender Bedeutung. Sie umfassen Systeme, die wichtige Dienste wie Energie, Bank- und Finanzwesen, Kommunikation, Verkehr und Gesundheitswesen bereitstellen. IT-Sicherheit ist ein wichtiger Bestandteil des Schutzes und der Widerstandsfähigkeit kritischer Infrastrukturen. IT-Sicherheitstechnologie hilft, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen, die auf Computern gespeichert sind, Netzwerke und andere IT-Systeme.
Ein Unternehmen, welches eine kritische Infrastruktur ist, muss einen IT-Sicherheitsplan aufstellen, um den spezifischen Risiken zu begegnen, denen es ausgesetzt ist. Dazu gehört auch die Umsetzung geeigneter technischer Maßnahmen wie Verschlüsselungstechnologie, Identitätsmanagement und Schutz vor Datenverlusten (DLP). Betreiber kritischer Infrastrukturen müssen sich an dem IT-Sicherheitsgesetz und den KRITIS Anforderungen orientieren.
Das Funktionieren der deutschen Gesellschaft hängt zunehmend von der Vernetzung kritischer Infrastrukturen und Dienste ab. Störungen wie Versorgungsengpässe können ernsthafte Probleme für die öffentliche Sicherheit und teure wirtschaftliche Schäden verursachen, insbesondere in Zeiten von Naturkatastrophen oder bösartigen Angriffen wie Terrorismus oder Cyberkriminalität. IT-Technologien sind für den effektiven Betrieb vieler kritischer Infrastrukturen unverzichtbar geworden, was zu einem Trend hin zu einer stärkeren Abhängigkeit verschiedener Systemen in Deutschland führt. Dies stellt dadurch erhöhte Anforderungen an die öffentliche Sicherheit dar.
Die Vernetzung kritischer Infrastrukturen erfordert ein neues Sicherheitskonzept – eines, das die weitreichenden Folgen berücksichtigt, die Störungen in einem bestimmten Sektor haben können. Um unsere Sicherheit zu gewährleisten und Kaskadeneffekte zu verhindern, müssen wir unbedingt eine sektorübergreifende Zusammenarbeit auf nationaler und internationaler Ebene in Betracht ziehen.
Nach der BSI-Kritikalitätsverordnung werden bestimmte lebenswichtige Einrichtungen und Anlagen aufgrund ihrer Bedeutung für die Versorgung der Bevölkerung als kritische Infrastrukturen eingestuft. Wenn diese Infrastrukturen die in dieser Verordnung festgelegten Schwellenwerte überschreiten, müssen die Betreiber die in der BSI-Gesetzgebung vorgeschriebenen Melde- und Prüfpflichten erfüllen.
Mit dem technischen Fortschritt entwickelt sich auch die Rechtslandschaft weiter. Aus diesem Grund beziehen sich viele Gerichtsbarkeiten bei der Ausarbeitung von Gesetzen auf den „Stand der Technik“, anstatt zu versuchen, technische Standards festzulegen, die schnell veraltet sein können. Der aktuelle Stand der Technik lässt sich anhand etablierter nationaler oder internationaler Normen wie DIN, ISO/IEC und anderer in der Praxis bewährter Modelle erkennen.
KRITIS-betroffene Unternehmen müssen geeignete Maßnahmen zum Schutz ihrer Informationstechnologie ergreifen und dies über B3S nachweisen. Diese Überprüfung des „Stands der Technik“ sollte innerhalb von zwei Jahren abgeschlossen sein, um die Einhaltung der in der KRITIS-Gesetzgebung festgelegten Vorschriften zu gewährleisten.
Naturphänomene wie Erdbeben, Stürme oder Überschwemmungen können leider zu Instabilität in unserer kritischen Infrastruktur führen. Tragischerweise sind wir auch anfällig für bösartige Bedrohungen wie Cyberangriffe und Terrorismus, wie der russische Angriffskrieg gegen die Ukraine gezeigt hat. Die Abhängigkeit Deutschlands von seiner Informationstechnologie verstärkt diese Abhängigkeit noch, so dass wir darüber nachdenken müssen, wie wir deren Stabilität für eine sichere Zukunft am besten gewährleisten können.
Die Ausdehnung von Versorgungsnetzen wird immer häufiger, und die Auswirkungen sind überall zu spüren. Nehmen Sie zum Beispiel die berüchtigten Stromausfälle der letzten Zeit: Sie betrafen nicht nur die Stromverteilung, sondern auch die Telekommunikations- und Wasserversorgungssysteme. Es ist an der Zeit, die Verflechtung von Infrastrukturen auf globaler Ebene zu erkennen – KRITIS muss eine internationale Perspektive einnehmen, um ähnliche Katastrophen in Zukunft zu verhindern.
Copyright © 2023 Dr. Michael Gorski Consulting GmbH | All Rights Reserved.
