Mit der Ende Juni 2017 in Kraft getretenen Änderung der KRITIS-Verordnung wird jetzt für alle KRITIS-Sektoren klar geregelt, inwiefern sie unter die Vorgaben des IT-Sicherheitsgesetzes (IT-SiG) fallen. KRITIS steht für „Kritische Infrastrukturen“ und meint Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Beeinträchtigungen Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.
Bislang existierte die Festlegung für die Sektoren Energie, Informationstechnik & Telekommunikation und Wasser & Ernährung (sog. „1. Korb“). Jetzt wurden die Kriterien für Gesundheit, Finanz- & Versicherungswesen und Transport & Verkehr („2. Korb“) bestimmt und das IT-Sicherheitsgesetz somit final umgesetzt.
Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden.
Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen, so gelten zum Beispiel:
als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift.
Alle Unternehmen und Organisationen, die vom IT-Sicherheitsgesetz betroffen sind, sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) umzusetzen und nachzuweisen.
Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen (ISO/IEC 27001), oder die vom BSI alternativ anerkannten „Branchenspezifische Sicherheitsstandards“ (B3S) zugelassen.
Die Vorgehensweise zur ISMS-Einführung wird in unserer Zertifizierungsschulung zum Certified ISO 27001 Lead Implementer erklärt.
Ergänzend dazu unterstützen wir Sie in einer Reihe von projektbegleitenden Workshops bei der Implementierung des ISMS bis zur Zertifizierungsreife bzw. zum Auditbericht für das BSI, um die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen: Workshopreihe zur Unterstützung bei der ISMS-Einführung.
Die Termine können dabei individuell auf die Ziele der ISMS-Einführung abgestimmt werden, abhängig von der Verfügbarkeit eigener Ressourcen. Ein Projektplan wird nach Klärung der Zielsetzung gemeinsam erstellt.
Wir unterstützen Sie durch