KRITIS Beratung

KRITIS-Betreiber stehen vor einer noch nie dagewesenen Herausforderung, ihre anfälligen Systeme vor Cyberangriffen zu schützen. Die Einhaltung der NIS- und der RCE-Richtlinie der EU sowie das kürzlich verabschiedete deutsche IT-Sicherheitsgesetz 2.0 stellen eine erhebliche Belastung für diese Organisationen dar, die strenge Sicherheitsmaßnahmen ergreifen müssen, um ihre Widerstandsfähigkeit gegen böswillige Akteure zu gewährleisten.

Zum Schutz kritischer Infrastrukturen werden strenge Vorschriften durchgesetzt: Verstöße gegen die BSIG- und KRITIS-Verordnung haben erhebliche Konsequenzen, da Ordnungswidrigkeiten mit Geldbußen von bis zu 2 Millionen Euro geahndet werden können. Die kürzlich eingeführten neuen Schwellenwerte haben dazu geführt, dass die Zahl der für den Schutz lebenswichtiger Infrastrukturen verantwortlichen Unternehmen stark gestiegen ist.

Wofür steht KRITIS?

KRITIS-Einrichtungen spielen eine zentrale Rolle für die Sicherheit und Stabilität unserer Nation. Ihre Beeinträchtigung könnte verheerende Auswirkungen auf die Gesellschaft haben – von lang anhaltenden Versorgungsengpässen, die den Bürgern schaden, bis hin zu großen öffentlichen Unruhen mit weitreichenden Folgen.

Zählt Ihr Unternehmen als kritische Infrastruktur? Die IT-Security für kritische Infrastrukturen ist an hohe Anforderungen gebunden. 
Wir beraten Sie unverbindlich. Sprechen Sie mit uns.

Für welche Branchen KRITIS relevant?

Da die Welt immer mehr von der Technologie abhängig wird, ist IT-Security eine dringende Priorität für diejenigen, die für den Betrieb kritischer Infrastrukturen verantwortlich sind. Die KRITIS-Betreiber müssen sicherstellen, dass ihre Netzwerke vor Cyber-Bedrohungen geschützt sind, die weitreichende Störungen verursachen könnten. Zudem Branchen, für die KRITIS relevant ist zählen:

  • Energie,
  • Finanzen und Versicherungen,
  • Gesundheit,
  • IT und Telekommunikation,
  • Wasser,
  • Ernährung,
  • Transport und Verkehr,
  • Siedlungsabfallentsorgung,
  • Staat und Verwaltung und
  • Kultur.

Warum Sie mit uns arbeiten sollten

Leistungen

  • Stellung eines externen Informationssicherheitsbeauftragten (ISB) zur Erfüllung operativer Aufgaben im Aufbau eines ISMS zum Schutz kritischer Infrastrukturen nach KRITIS Anforderungen.
  • Bestandsaufnahme des derzeitigen Stands der Informationssicherheit in Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit.
  • Einführung und Umsetzung der grundlegenden ISMS Prozesse.
  • Verteilung von Zuständigkeiten sowie Abgrenzung des Geltungsbereichs des ISMS.
  • Etablierung eines Risiko-Managementsystems in ihrem Unternehmen sowie Durchführung von Risikoanalysen und deren Behandlung.
  • Aufbau eines internen Kontrollsystems, das sich fortlaufend um die Überwachung und Verbesserung ihres ISMS kümmert.
  • Planung und Durchführung von Audits zur Informationssicherheit.
  • Vorbereitung und Begleitung externer Audits (z.B.: ISO27001 oder KRITIS) von Zertifizierungsstellen wie TÜV, Dekra oder durch Kunden.
  • Verteilung von Zuständigkeiten sowie Abgrenzung des Geltungsbereichs des ISMS.
  • Etablierung eines Risiko-Managementsystems in ihrem Unternehmen.
    der Aufbau eines internen Kontrollsystems, das sich fortlaufend um die Überwachung und Verbesserung ihres ISMS kümmert.

Die Schritte einer KRITIS Beratung

Setup

Unser Expertenteam arbeitet mit Ihrem Management zusammen, um die wichtigsten Voraussetzungen für die KRITIS Anforderungen zu ermitteln.

Analyse

Um Ihren Erfolg zu gewährleisten, bewerten wir Ihre Anforderungen und führen ein internes Audit durch. Unser umfassender Bericht zeigt Verbesserungsmöglichkeiten auf und enthält praktische Lösungen, die Ihnen helfen, optimale Maßnahmen umsetzen zu können.

Umsetzung

Gemeinsam können wir eine leistungsfähige Strategie entwickeln, die die erfolgreiche Implementierung von KRITIS Anforderungen gewährleistet. Mit der Auditvorbereitung sorgen wir dafür, dass Sie für die KRITIS Audit optimal aufgestellt sind.

ISMS nach KRITIS

Ein ISMS nach KRITIS Anforderungen muss alle drei Jahre neu bewertet werden. Unser umfassende KRITIS Beratung kann Ihnen dabei helfen, bei diesem ISMS die höchsten Sicherheitsstandards einzuhalten, so dass das Bestehen des Assessments immer ein Kinderspiel sein wird!

Ziele

Profitieren Sie von unserer Zusammenarbeit

Vertraulichkeit, Integrität und Verfügbarkeit der Informationen in ihrem Unternehmen gewährleisten.

Sicherheitslösung so zu in die Betriebsstrukturen integrieren, dass sie den Betriebsalltag nicht beeinträchtigen und die Geschäftsziele unterstützen.

Für das Management transparente und klare ISMS-Strukturen schaffen, die einen echten Mehrwert im Verhältnis zum Aufwand bringen.

Ihre Ansprechpartner

Zukunftsorientierte IT-Security für langfristigen Geschäftserfolg.

Dr. Michael Gorski

Als Experten für IT-Security und KRITIS sind wir an Ihrer Seite. Kontaktieren Sie uns.

Gerne beantworten wir Ihre Fragen und erstellen Ihnen ein individuelles Angebot.

Mehr über KRITIS in unseren Videos

ISMS Was ist das? (Information Security Management System)

ISO 27001 und Security Monitoring (So erfüllt Ihr SOC die ISO 27001)

ISO 27001 und Security Monitoring (So erfüllt Ihr SOC die ISO 27001)

Häufig gestellte Fragen

zum Thema KRITIS Beratung

KRITIS Beratung bietet zahlreiche Vorteile im Bereich der IT-Sicherheit. Unsere IT-Experten verfügen über jahrelange Erfahrung im Bereich der IT-Sicherheit und haben einen umfassenden Ansatz entwickelt, der Unternehmen hilft, ihre IT-Umgebung vor externen Bedrohungen zu schützen. Wir bieten eine Reihe von Dienstleistungen an, die von der Risikobewertung bis zur Implementierung, Überwachung und Verwaltung von IT-Sicherheitsmaßnahmen reichen

Unsere Berater hilft Ihnen, IT-Risiken und -Schwachstellen zu ermitteln, die besten Sicherheitsmaßnahmen für Ihre IT-Umgebung zu bestimmen und IT-Sicherheitsrichtlinien zu entwickeln. Wir sind darauf spezialisiert, personalisierte IT-Sicherheitslösungen anzubieten, die auf die spezifischen Bedürfnisse von Unternehmen zugeschnitten sind. Unser Team von IT-Fachleuten kann auch IT-Support und Wartungsdienste anbieten, die eine sichere IT-Infrastruktur gewährleisten.

Im Jahr 2021 hat die Regierung die IT-Sicherheitsstandards mit einer aktualisierten KRITIS-Verordnung (1.5) weiter definiert. Diese Verordnung baut auf der vorherigen Version der Schwellenwerte und Anhänge auf und führt gleichzeitig Verfeinerungen in den bestehenden Sektoren ein, um sicherzustellen, dass alle Organisationen mit den modernen Sicherheitsmaßnahmen konform bleiben.

Als Ergebnis dieser Maßnahme können die Marktteilnehmer sicher sein, dass ihre Operationen inmitten der häufigen Aktualisierungen der BSI-Kritikalitätsvorschriften ab Januar 2022 sicher bleiben – und den Weg für einen noch robusteren Schutz im Jahr 2023 ebnen.

Was ist das IT-Sicherheitsgesetz?

Das IT-Sicherheitsgesetz 2.0 hat den Schutz und die Integrität von Daten als oberste Priorität für KRITIS-Unternehmen in Deutschland fest verankert und verbesserte Schutzmaßnahmen eingeführt, um die Einhaltung modernster Verfahren auf allen Organisationsebenen zu gewährleisten. Die aktualisierte Gesetzgebung stellt einen wichtigen Meilenstein auf dem Weg zu einem umfassenden Ansatz zur Sicherung kritischer Infrastrukturen gegen moderne Bedrohungen dar.

Das IT-Sicherheitsgesetz 2.0 enthält Vorgaben für IT-Sicherheitszertifizierungen, die von IT-Systemen und IT-Verfahren der KRITIS-Unternehmen erfüllt werden müssen, um deren IT-Sicherheitsanforderungen zu gewährleisten. Außerdem enthält es einen Maßnahmenkatalog, der die notwendigen IT-Sicherheitsschritte zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von IT-Systemen festlegt.

Mit dem IT-Sicherheitsgesetz 2.0 werden auch zusätzliche Anforderungen an die IT-Infrastruktur, die Systemintegration und die IT-Wartungsprozesse eingeführt, um die Sicherheit der IT-Systeme und Daten zu gewährleisten. Dazu gehören verpflichtende IT-Sicherheitsprüfungen vor der Freigabe von Änderungen, regelmäßige IT-Sicherheitstests sowie eine angemessene IT-Sicherheitsschulung für IT-Personal.

Das IT-Sicherheitsgesetz 2.0 sorgt dafür, dass IT-Systeme und Daten vor Cyber-Bedrohungen geschützt bleiben und bietet IT-Sicherheit für Organisationen in Deutschland und darüber hinaus. Es dient auch als wichtige Erinnerung für alle IT-Fachleute an die Bedeutung der IT-Sicherheit im Umgang mit sensiblen Daten und Informationen. Mit einem umfassenden Ansatz zur IT-Sicherheit,

Als Reaktion auf die veränderte politische Landschaft hat das deutsche Innenministerium eine umfassende Überarbeitung der Gesetzgebung vorgenommen. Im Mai 2021 trat das IT-Sicherheitsgesetz 2.0 in Kraft, während im August die KRITIS-Verordnung 1.5 verabschiedet wurde, die die Zahl der Betreiber um mindestens 270% erhöht. Bis 2023 bzw. 2024 soll eine weitere KRITIS-Verordnung in Kraft treten sowie eine mögliche UBI-Verordnung, gefolgt von einer potenziellen Umsetzung der EU-VO in nationales Recht, wobei die erwartete NIE 2 noch näher am Horizont liegt, um den Weg für das IT-Sicherheitsgesetz 3.0 im Jahr 2025 zu ebnen – all dies ist Teil der umfassenden Bemühungen des Ministeriums um mehr Sicherheit in der kritischen Infrastruktur des Landes IT-Netze.

Kritische Infrastrukturen sind für die Sicherheit, die Wirtschaft und die öffentliche Gesundheit eines Landes von entscheidender Bedeutung. Sie umfassen Systeme, die wichtige Dienste wie Energie, Bank- und Finanzwesen, Kommunikation, Verkehr und Gesundheitswesen bereitstellen. IT-Sicherheit ist ein wichtiger Bestandteil des Schutzes und der Widerstandsfähigkeit kritischer Infrastrukturen. IT-Sicherheitstechnologie hilft, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen, die auf Computern gespeichert sind, Netzwerke und andere IT-Systeme.

Ein Unternehmen, welches eine kritische Infrastruktur ist, muss einen IT-Sicherheitsplan aufstellen, um den spezifischen Risiken zu begegnen, denen es ausgesetzt ist. Dazu gehört auch die Umsetzung geeigneter technischer Maßnahmen wie Verschlüsselungstechnologie, Identitätsmanagement und Schutz vor Datenverlusten (DLP). Betreiber kritischer Infrastrukturen müssen sich an dem IT-Sicherheitsgesetz und den KRITIS Anforderungen orientieren.  

Das Funktionieren der deutschen Gesellschaft hängt zunehmend von der Vernetzung kritischer Infrastrukturen und Dienste ab. Störungen wie Versorgungsengpässe können ernsthafte Probleme für die öffentliche Sicherheit und teure wirtschaftliche Schäden verursachen, insbesondere in Zeiten von Naturkatastrophen oder bösartigen Angriffen wie Terrorismus oder Cyberkriminalität. IT-Technologien sind für den effektiven Betrieb vieler kritischer Infrastrukturen unverzichtbar geworden, was zu einem Trend hin zu einer stärkeren Abhängigkeit verschiedener Systemen in Deutschland führt. Dies stellt dadurch erhöhte Anforderungen an die öffentliche Sicherheit dar.

Die Vernetzung kritischer Infrastrukturen erfordert ein neues Sicherheitskonzept – eines, das die weitreichenden Folgen berücksichtigt, die Störungen in einem bestimmten Sektor haben können. Um unsere Sicherheit zu gewährleisten und Kaskadeneffekte zu verhindern, müssen wir unbedingt eine sektorübergreifende Zusammenarbeit auf nationaler und internationaler Ebene in Betracht ziehen.

Nach der BSI-Kritikalitätsverordnung werden bestimmte lebenswichtige Einrichtungen und Anlagen aufgrund ihrer Bedeutung für die Versorgung der Bevölkerung als kritische Infrastrukturen eingestuft. Wenn diese Infrastrukturen die in dieser Verordnung festgelegten Schwellenwerte überschreiten, müssen die Betreiber die in der BSI-Gesetzgebung vorgeschriebenen Melde- und Prüfpflichten erfüllen.

Mit dem technischen Fortschritt entwickelt sich auch die Rechtslandschaft weiter. Aus diesem Grund beziehen sich viele Gerichtsbarkeiten bei der Ausarbeitung von Gesetzen auf den „Stand der Technik“, anstatt zu versuchen, technische Standards festzulegen, die schnell veraltet sein können. Der aktuelle Stand der Technik lässt sich anhand etablierter nationaler oder internationaler Normen wie DIN, ISO/IEC und anderer in der Praxis bewährter Modelle erkennen.

KRITIS-betroffene Unternehmen müssen geeignete Maßnahmen zum Schutz ihrer Informationstechnologie ergreifen und dies über B3S nachweisen. Diese Überprüfung des „Stands der Technik“ sollte innerhalb von zwei Jahren abgeschlossen sein, um die Einhaltung der in der KRITIS-Gesetzgebung festgelegten Vorschriften zu gewährleisten.

Naturphänomene wie Erdbeben, Stürme oder Überschwemmungen können leider zu Instabilität in unserer kritischen Infrastruktur führen. Tragischerweise sind wir auch anfällig für bösartige Bedrohungen wie Cyberangriffe und Terrorismus, wie der russische Angriffskrieg gegen die Ukraine gezeigt hat. Die Abhängigkeit Deutschlands von seiner Informationstechnologie verstärkt diese Abhängigkeit noch, so dass wir darüber nachdenken müssen, wie wir deren Stabilität für eine sichere Zukunft am besten gewährleisten können.

Die Ausdehnung von Versorgungsnetzen wird immer häufiger, und die Auswirkungen sind überall zu spüren. Nehmen Sie zum Beispiel die berüchtigten Stromausfälle der letzten Zeit: Sie betrafen nicht nur die Stromverteilung, sondern auch die Telekommunikations- und Wasserversorgungssysteme. Es ist an der Zeit, die Verflechtung von Infrastrukturen auf globaler Ebene zu erkennen – KRITIS muss eine internationale Perspektive einnehmen, um ähnliche Katastrophen in Zukunft zu verhindern.