bridge-kritis

Sicherheit kritischer Infrastrukturen
KRITIS

Kontakt

Das IT-Sicherheitsgesetz (IT-SiG) ist am 25. Juli 2015 in Kraft getreten. Das IT-SiG verpflichtet Betreiber Kritischer Infrastrukturen, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach Stand der Technik angemessen abzusichern. 

Darüber hinaus sind KRITIS-Unternehmen ab Mai 2023 verpflichtet, Systeme zur Angriffserkennung (SzA) zu implementieren und aktiv zu nutzen. Und schließlich sollen die KRITIS-Unternehmen den Einsatz von Business-Continuity-Management-Systemen (BCMS) nachweisen.

Mindestens alle zwei Jahre muss dies überprüft und durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachgewiesen werden.

Im Gegensatz zum IT-Sicherheitskatalog wird im IT-SiG ein ISMS nicht explizit genannt. Jedoch ist ein ISMS zur Aufrechterhaltung der  Informationssicherheit der geforderte aktuelle Stand der Technik.

image background

Sprechen Sie mit unseren Experten

logo certification

SOCOTEC Certification Deutschland

certification.deutschland@socotec.com
Angebot oder Informationen anfordern

Was sind KRITIS?

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit einer Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Zu den Betreibern Kritischer Infrastrukturen gehören Unternehmen aus den Branchen Energie, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit und Ernährung sowie Medien und Kultur.

Im Hinblick auf das BSI-Gesetz (BSIG) sind die betroffenen Unternehmen verpflichtet, gemäß dem IT-Sicherheitsgesetz folgende Punkte zu beachten:

- Benennung einer offiziellen Kontaktstelle für die betriebene kritische Infrastruktur.

- Meldung von IT-Störungen oder anderen erheblichen Beeinträchtigungen.

- Umsetzung einer IT-Sicherheit, die dem „Stand der Technik“ entspricht.

- Nachweis gegenüber dem BSI alle zwei Jahre, dass die oben genannten Maßnahmen eingehalten werden.

electricity-kritis

Erfahren Sie mehr

Bin ich als KMU vom IT-SiG betroffen?

Wenn Sie ein KMU sind, müssen Sie die Anforderungen des IT-SiG nicht zwingend erfüllen. Als Zulieferer für größere Unternehmen müssen Sie jedoch damit rechnen, dass Ihre Auftraggeber die Einhaltung gewisser Standards wie z.B. der ISO 27001 von Ihnen fordern

Wie läuft eine BSI-kon­for­me Prüfung gemäß § 8a (3) BSIG ab?

Ein BSI-konformes Audit nach § 8a (3) des BSIG (Bundesamt für Sicherheit in der Informationstechnik Gesetz) ist Teil des Regelwerks zur Gewährleistung der IT-Sicherheit von Betreibern kritischer Infrastrukturen (KRITIS) in Deutschland.

Ziel dieser Prüfung ist es, zu verifizieren, dass der Betreiber die im BSIG festgelegten Mindestanforderungen an die IT-Sicherheit einhält und dazu beiträgt, dass geeignete Schutzmaßnahmen zum Schutz vor Cyber-Bedrohungen und zur Aufrechterhaltung der Sicherheit und Integrität lebenswichtiger Systeme ergriffen werden.

Wer darf eine KRITISPrüfung durchführen?

Ein KRITIS-Audit (Audit Kritischer Infrastrukturen) in Deutschland, das durch das BSIG (Bundesgesetz über das Bundesamt für Sicherheit in der Informationstechnik) in § 8a (3) vorgeschrieben ist, muss von einem unabhängigen externen Auditor durchgeführt werden, der bestimmte Anforderungen erfüllt.

  • Der Auditor muss durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) zertifiziert sein. Die BSI-Zertifizierung stellt sicher, dass der Auditor über die notwendige Sachkunde und Qualifikation verfügt, um die Einhaltung der geforderten IT-Sicherheitsstandards bei Betreibern kritischer Infrastrukturen zu beurteilen
     
  • Das Audit muss von externen Stellen durchgeführt werden, um Unparteilichkeit und Objektivität zu gewährleisten
     
  • Die Prüfer müssen in der Lage sein, die IT-Sicherheitsmaßnahmen kritischer Infrastrukturen unter Berücksichtigung sowohl technischer als auch organisatorischer Aspekte zu bewerten

Aufforderung an SOCOTEC Certification Deutschland zur Durchführung eines Sicherheitsaudits für kritische Infrastrukturen gem. den gesetzlichen Vorgaben.

Wie kann der Nachweis gegenüber den KRITIS-Betreibern erbracht werden?

Für den Nachweis der Einhaltung der Anforderungen an Betreiber kritischer Infrastrukturen (KRITIS) nach dem BSIG (Bundesamt für Sicherheit in der Informationstechnik Gesetz) müssen die Auditergebnisse in formaler Form dokumentiert werden. Diese Dokumentation dient dem Nachweis, dass die IT-Sicherheitsmaßnahmen den vom BSI (Bundesamt für Sicherheit in der Informationstechnik) festgelegten Mindeststandards entsprechen und der Betreiber die gesetzlichen Anforderungen nach § 8a (3) BSIG erfüllt hat.

Wichtigstes Beweismittel ist der Auditbericht, der im Anschluss an das KRITIS-Audit erstellt wird. 

Neben dem ausführlichen Auditbericht kann der Auditor eine Bescheinigung ausstellen, wenn der Betreiber alle Anforderungen erfüllt. Dieses Zertifikat dient als offizieller Nachweis, dass die Organisation das Audit durchlaufen hat und die IT-Sicherheitsvorschriften einhält.

Was kostet eine KRITIS-Prüfung gemäß § 8a (3) BSIG?

Unsere Angebote können je nach den spezifischen Bedürfnissen der einzelnen Kunden variieren. Um ein genaues, individuelles Angebot zu erhalten, wenden Sie sich bitte direkt an uns. Wir freuen uns darauf, Ihr Projekt zu besprechen und Ihnen ein individuelles Angebot zu unterbreiten.

image background

Prüfung der Sicherheit kritischer Infrastrukturen

Zertifizierung der Sicherheit kritischer Infrastrukturen KRITIS

Prüfung Audit

Der Prozess beginnt mit der Unterzeichnung des Vertrags. Auf Wunsch kann ein Voraudit durchgeführt werden, um die Zertifizierungsreife zu beurteilen.

Es folgt eine Überprüfung der Dokumente und dann die Durchführung der Zertifizierungsaudits in zwei Schritten durch unsere. Die Dauer und der Umfang dieser Audits hängen von der Größe und der Komplexität des Unternehmens ab.

Nach Erhalt des Zertifikats wird das Unternehmen durch jährliche Überwachungsaudits bei der kontinuierlichen Verbesserung seiner Prozesse und Dokumente begleitet.

Das Zertifikat ist vorbehaltlich dieser jährlichen Überwachungsaudits drei Jahre lang gültig. Nach diesem Zeitraum ist ein Rezertifizierungsaudit erforderlich, mit dem das Engagement und die Verantwortung des Unternehmens gegenüber seinen Mitarbeitern und Kunden dauerhaft nachgewiesen werden kann.

Lernen Sie unseren kompletten Zertifizierungsprozess kennen

Der Prozess beginnt mit der Unterzeichnung des Vertrags. Auf Wunsch kann ein Voraudit durchgeführt werden, um die Zertifizierungsreife zu beurteilen.

Es folgt eine Überprüfung der Dokumente und dann die Durchführung der Zertifizierungsaudits in zwei Schritten durch unsere. Die Dauer und der Umfang dieser Audits hängen von der Größe und der Komplexität des Unternehmens ab.

Nach Erhalt des Zertifikats wird das Unternehmen durch jährliche Überwachungsaudits bei der kontinuierlichen Verbesserung seiner Prozesse und Dokumente begleitet.

Das Zertifikat ist vorbehaltlich dieser jährlichen Überwachungsaudits drei Jahre lang gültig. Nach diesem Zeitraum ist ein Rezertifizierungsaudit erforderlich, mit dem das Engagement und die Verantwortung des Unternehmens gegenüber seinen Mitarbeitern und Kunden dauerhaft nachgewiesen werden kann.

Warum sollten Sie SOCOTEC Certification Deutschland vertrauen?

  • SOCOTEC Certification International Deutschland ist eine führende Zertifizierungsstelle mit Sitz in Deutschland und akkreditiert durch die DAkkS
     
  • Als Spezialist für Informationssicherheit und Qualitätsmanagement bietet SOCOTEC Certification Deutschland Zertifizierungen für ISO/IEC 27001, ISO 9001 und IT-Sicherheitskataloge an
     
  • Mit über 30 Jahren Erfahrung bieten unsere fachkundigen Auditoren transparente, branchenspezifische Bewertungen, die die Konformität sicherstellen und die Marktchancen von Unternehmen verbessern

Möchten Sie mehr über unser Kritis-Zertifizierungsangebot erfahren?

DAkkS Logo


Die Akkreditierung gilt nur für den in der Urkundenanlage D-ZM-18855-01-00 aufgeführten Akkreditierungsumfang.

SOCOTEC Certification Deutschland GmbH ist von der Deutschen Akkreditierungsstelle akkreditiert für den IT-Sicherheitskatalog (§11 Abs. 1a und 1b EnWG), ISO 27001, 9001.

image background

Sprechen Sie mit unseren Experten

logo certification

SOCOTEC Certification Deutschland

certification.deutschland@socotec.com
information security

ISO 27001

files-iso

Unsere Leistungen