Andreas Weyert zum Auditor für KRITIS-Prüfverfahren berufen

In einer digital vernetzten Welt ist eine sichere IT-Infrastruktur wichtiger denn je. Insbesondere Unternehmen, die zu den „kritischen Infrastrukturen“ (KRITIS) zählen, gelten als besonders schützenswert. Kommt es zum Ausfall einer KRITIS-Institution, können nachhaltige Versorgungsengpässe entstehen und auch die öffentliche Sicherheit kann in Gefahr geraten. Das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ("IT-SiG 2.0") nimmt mit einer Anpassung von Schwellenwerten und Ausweitung der kritischen Sektoren in der KRITIS-Verordnung nun deutlich mehr Organisationen in die Pflicht, wirksame Maßnahmen zur Erhöhung des Niveaus zur Informationssicherheit zu ergreifen. In Form von Sicherheitsaudits müssen KRITIS-Betreiber gem. § 8a III BSIG alle zwei Jahre dem BSI die Umsetzung angemessener Maßnahmen und die Einhaltung der Technikstandards nachweisen.

Mit IT-SiG 2.0 gehören Systeme zur Angriffserkennung (SzA) nun ausdrücklich zu den technischen und organisatorischen Sicherheitsvorkehrungen in KRITIS-Anlagen. Diese müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Die Umsetzung dieser Forderung kann z.B. unter Einbeziehung von Security Operation Center (SOC) oder Security Information and Event Management (SIEM) realisiert werden. Der Einsatz von SzA ist für kritische Infrastrukturen spätestens ab dem 1. Mai 2023 verpflichtend.

Weitere Details zu KRITIS und SzA veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik auf seinen Webseiten.

ISO 27001 ist die international führende Norm zur Einführung eines ganzheitlichen Managementsystems für Informationssicherheit. An dieser seit mehr als zwei Jahrzehnten grundlegenden, weltweit anerkannten Prüfgrundlage für ISMS kommt heute, wenn es um Informationssicherheit geht, kein Unternehmen mehr vorbei. Sie definiert die Anforderungen an Aufbau, Einführung, Umsetzung, betriebliche Überwachung und Dokumentation an ein ISMS. Bestehende Risiken für die Unternehmen werden im Rahmen des erforderlichen Risikomanagements identifiziert, analysiert und durch wirksame Maßnahmen behoben. Die Norm betrachtet nicht nur IT-Prozesse. Sie bezieht auch Aspekte der Infrastruktur wie Organisation, Personal und Gebäude sowie deren Umfeld mit ein.

Am 25. Oktober 2022 wurde der neue Bewertungsrahmen für Informationssicherheit, die ISO/IEC 27001:2022 unter dem neuen Titel „Information Security, Cybersecurity and Privacy Protection“ veröffentlicht. Damit korrespondiert die ISO 27001 wieder mit dem Leitfaden ISO 27002 und entspricht dem Stand der Technik. Die Übergangsfrist für bestehende ISO 27001-Zertifikate beträgt drei Jahre ab dem letzten Tag des Veröffentlichungsmonats der neuen ISO/IEC 27001:2022 (Oktober 2022). Das heißt, alle Zertifikate nach ISO/IEC 27001:2013 beziehungsweise DIN EN ISO/IEC 27001:2017 müssen bis zum 31. Oktober 2025 auf die neue Version ISO 27001 aus 2022 umgestellt sein.

Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) reguliert die Sicherheit Kritischer Infrastrukturen (KRITIS) und legt Pflichten, Aufgaben und Befugnisse von Betreibern und Staat fest.

NIS2 steht für die überarbeitete zweite Fassung der 2016 verabschiedeten Directive on Security of Network and Information Systems.  NIS2 zielt darauf ab, die Sicherheit von Netzwerken und Informationssystemen in der gesamten Europäischen Union zu gewährleisten. Die Richtlinie legt Mindestanforderungen für die Sicherheit von Netzwerken und informationstechnischen Systemen fest und enthält Bestimmungen zur Meldung von Sicherheitsvorfällen und zur Zusammenarbeit zwischen den EU-Mitgliedstaaten.

BSIG und NIS2 haben beide das Ziel, die Sicherheit von Informationssystemen und Netzwerken zu verbessern, jedoch auf unterschiedlichen Ebenen. Das BSIG ist ein nationales Gesetz, das in Deutschland gilt und die Sicherheit in der Informationstechnik regelt. NIS2 ist eine EU-Richtlinie, die auf europäischer Ebene harmonisierte Sicherheitsstandards für Netzwerke und Informationssysteme festlegt.

Geplant ist, durch NIS2 den Anwendungsbereich der bisherigen NIS1-Richtlinie drastisch auszuweiten. Unternehmen mit mehr als 50 Mitarbeitenden und einem Jahresumsatz von mehr als 10 Millionen Euro sollen künftig unter NIS2 fallen, wenn sie in einem kritischen Sektor tätig sind. 

Binnen 18 Monaten nach Inkrafttreten sollen die Mitgliedsstaaten die NIS2-Richtlinie in nationales Recht umgesetzt haben. Betroffene Unternehmen müssen sich also auf erheblich verschärfte Vorgaben in puncto Cybersicherheit ab 2024 oder spätestens 2025 einstellen.