Wie sich KRITIS-Unternehmen gegen Cyberangriffe absichern können

Versorgungssicherheit als Prämisse - darum gibt es KRITIS Unternehmen

Im IT Sicherheitsgesetz (IT-SiG), das 2015 in Kraft trat, wurden besondere Regelungen für versorgungswichtige Unternehmen des Landes getroffen.

Als KRITIS-Unternehmen, also Betreiber kritischer Infrastrukturen, bezeichnet man Unternehmen, deren Betrieb einen wesentlichen Anteil an der (Grund-)Versorgung des Landes (Ziel: Vermeidung von Versorgungsengpässen) hat oder deren Beeinträchtigung die öffentliche Sicherheit gefährden würde.

KRITIS-Unternehmen kommen aus den folgenden Sektoren:

• Energie (Strom- und Gasversorgung)
• Wasser
• Ernährung
• Informationstechnik und Telekommunikation
• Gesundheit
• Transport und Verkehr
• Finanz- und Versicherungswesen
• Staat und Verwaltung
• Medien und Kultur

Zudem gelten gewisse Schwellenwerte, ab denen ein Unternehmen der o.g. Sektoren tatsächlich als KRITIS-Unternehmen eingestuft wird; z.B. fallen bei Krankenhäusern alle Einrichtungen, die mindestens 30.000 vollstationäre Fälle pro Jahr dokumentieren, unter die KRITIS-Verordnung.

Nachweispflicht der funktionsfähigen IT Sicherheit an KRITIS-Unternehmen

Nach § 8a des BSI-Gesetzes (BSIG) müssen Betreiber kritischer Infrastrukturen nachweisen, dass Ihre IT-Sicherheit auf dem "Stand der Technik" ist. Die Wirksamkeit der IT-Maßnahmen ist alle zwei Jahre durch Zertifizierungen oder Audits nachzuweisen.

Das 2021 verabschiedete Sicherheitsgesetz 2.0 beinhaltet noch höhere Bußgelder bei Nicht-Einhaltung der Umsetzung und eine Ausweitung der Sektoren um den Sektor Siedlungsabfallentsorgung. Daneben müssen  Unternehmen "im besonderen öffentlichen Interesse" (beispielsweise Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen.

Branchenspezifische Sicherheitsstandards als Orientierung - B3S

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Branchen einen Sicherheitsstandard für ihren Bereich zu erarbeiten und veröffentlicht hierfür Orientierungshilfen zu den Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a BSIG. Daraus hat z.B. der Gesundheitssektor Strategiepapiere für Krankenhäuser entwickelt. 

Auch für Nicht-KRITIS Unternehmen gibt es Empfehlungen

Achtung: Nicht nur KRITIS-Unternehmen sind betroffen, sondern auch deren Zulieferer. Große Auftraggeber erwarten meist bestimmte Sicherheitsvorkehrungen von ihren Zulieferern, um ihrerseits entsprechende Nachweise erbringen zu können.

Der UP KRITIS, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen, hat Best Practise Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in kritischen Infrastrukturen herausgegeben. Sind Sie Zulieferer – dann sollten Sie diese beachten.