Auditierung Kritischer Infrastrukturen (KRITIS) 

gemäß §8a (3) BSIG  | Bureau Veritas

Die Digitalisierung von Vermögenswerten, Produkten und Dienstleistungen birgt zahlreiche Chancen – gleichzeitig bedroht sie aber auch die Cyber-Sicherheit.

Um vor allem Kritische Infrastrukturen (KRITIS) zu schützen, deren Ausfall drastische Folgen für Unternehmen, Wirtschaft, Gesellschaft und im schlimmsten Fall sogar den Staat haben können, hat die Bundesregierung die KRITIS-Verordnung mit dem IT-Sicherheitsgesetz 2.0 deutlich erweitert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Kritische Infrastrukturen (KRITIS) als „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkenden Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“.

Mehr Informationssicherheit für Ihre Infrastrukturen

Informationen sind wichtige Unternehmenswerte, deren angemessener Schutz vor unberechtigten Zugriffen durch Informationssicherheitsrisiko-Maßnahmen unbedingt erforderlich ist. Ziel ist es, die Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität zu verbessern und aktuellen sowie zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen.

Bureau Veritas Certification begleitet Sie bei ihrem KRITIS-Audit, um Sie bei der Erfüllung der Nachweispflicht des BSI zu unterstützen.

Der Geltungsbereich einer KRITIS-Überprüfung ist umfangreicher als beispielsweise der einer ISO/IEC 27001 Zertifizierung. Auf diese Weise soll ein höherer Sicherheitsstandard erreicht werden.

Welche Unternehmen sollten ein KRITIS-Audit durchführen lassen?

Alle Organisationen, die zu den folgenden neun Sektoren / Branchen gehören, zählen unabhängig von ihrer Größe zu den Kritischen Infrastrukturen (KRITIS):

Cyber_Sicherheit

  • Staat & Verwaltung

  • Energie- und Wasserversorgung

  • Gesundheitswesen & Ernährung

  • Informationstechnik & Telekommunikation

  • Transport & Verkehr

  • Medien & Kultur

  • Finanz- und Versicherungswesen

 

Darüber hinaus wird durch die geltende Rechtsverordnung des IT-Sicherheitsgesetzes festgelegt, wer als Betreiber einer Kritischen Infrastruktur gilt. Hierzu werden Regelschwellenwerte herangezogen. Detaillierte Informationen zu der neuen KRITIS-Verordnung 2.0 finden Sie auf der Website OPENKRITIS.

Ihr KRITIS-Audit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Meldestelle für KRITIS-Prüfungen. Nach §8a (3) BSIG gibt es u.a. die 3 folgenden Möglichkeiten für die Prüfung:

Business Frau unterschreibt Dokument
  1. Prüfung auf Grundlage von Normen aus dem Bereich der Informationssicherheit (z.B. ISO 27001 Normenfamilie)
  2. Prüfung auf Grundlage eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S)
  3. Prüfung ohne Verwendung eines branchenspezifischen Sicherheitsstandards

Grundsätzlich gilt: Alle Kritischen Infrastrukturen müssen ein Informationssicherheitsmanagementsystem (ISMS) aufbauen und dieses alle 2 Jahre prüfen lassen. In Ausnahmefällen (z. B. nach einem Sicherheitsvorfall) können Zwischenprüfungen verpflichtend sein. Jegliche Risiken, Probleme und/oder Angriffe müssen dem BSI gemeldet werden.

Bureau Veritas erstellt nach dem Audit einen Auditbericht sowie entsprechende Nachweisdokumente. Diese Dokumente muss der Betreiber beim BSI vorlegen.

Sie haben Fragen? Kontaktieren Sie uns gerne für detailliertere Informationen oder für ein unverbindliches Angebot! 

Kontaktieren Sie uns

Ergänzende Services

Entdecken Sie unsere Cyber Security Services für mehr Kontrolle über Ihre digitale Sicherheit.