Pressemitteilung von Herr Wilfried Heinrich

Mitte des Jahres müssen KRITIS-Unternehmen ihre IT-Sicherheit nachweisen

---

---

Im Mai 2018 mussten die ersten KRITIS-Unternehmen das IT-Sicherheitsgesetz (IT-SiG) vollständig umgesetzt haben. Bis Mitte dieses Jahres müssen alle weiteren KRITIS-Unternehmen entsprechend dem BSI-Gesetz §8a erstmals einen dokumentierten Nachweis der anforderungsgerechten Umsetzung durch eine qualifizierte Prüfstelle erbringen. Wer den Stichtag 30. Juni 2019 für den Nachweis nicht einhält, dem drohen Bußgelder.


Mit dem 2015 in Kraft getretenen IT-SiG verfolgt die Bundesregierung das Ziel, eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme zu erreichen. Eine besondere Bedeutung kommt im Bereich der IT-Sicherheit den Infrastrukturen in definierten KRITIS-Sektoren zu, die für das Funktionieren des Gemeinwesens zentral sind. Dazu gehören im sogenannten 1. Korb die Branchen Energie, Wasser, IT/Telekommunikation und Ernährung, im 2. Korb sind es KRITIS-Unternehmen der Sektoren Gesundheit, Transport und Verkehr sowie Banken und Versicherungen.


Zu den wesentlichen Merkmalen des IT-Sicherheitsgesetzes gehört, dass nach §8a des BSI-Gesetzes die Betreiber Kritischer Infrastrukturen ein IT-Sicherheitsniveau nach dem aktuellen Stand der Technik erreichen und alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen müssen. Dazu sind Maßnahmen in organisatorischer und technischer Hinsicht wirksam und angemessen umzusetzen und darzustellen. Diesen regelmäßigen Nachweisen kommt eine zentrale Bedeutung zu, weil sie durch ihren regelmäßigen Rhythmus ein wirkungsvolles Steuerungsinstrument zur kontinuierlichen Weiterentwicklung des IT-Sicherheitsniveaus darstellen. Daraus lässt sich die realistische Perspektive ableiten, dass auch in der Breite der KRITIS-Sektoren ein steigendes Sicherheitsniveau entsteht.


Für den Nachweis bedarf es einer dokumentierten Prüfung durch eine unabhängige und qualifizierte Prüfstelle. Diese Prüfstelle muss ein Prüfteam berufen, das neben der speziellen Prüfverfahrenskompetenz auch Kompetenzen in der Auditierung und Informationssicherheit aufweist. Zudem sind Erfahrungen in den definierten KRITIS-Branchen als Fachexpertise erforderlich.


Nach den Beobachtungen der TÜV TRUST IT, selbst vom BSI zugelassene Prüfstelle und in allen KRITIS-Sektoren vertreten, bestehen angesichts des baldigen Nachweistermins am 30. Juni 2019 intensive Aktivitäten bei den KRITIS-Unternehmen, um den Anforderungen des BSI-Gesetzes gerecht zu werden. "Wir stellen im Moment ein sehr reges Interesse an gezielter Beratung, Prüfungen und weiteren Unterstützungsleistungen fest", so Axel Amelung, Senior Account Manager bei der TÜV TRUST IT. Eine besonders große Nachfrage nach Prüfungen gemäß §8a (3) BSI-Gesetz mit Berücksichtigung des Branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser komme aus dem Gesundheitsbereich.


Er vermutet jedoch, dass angesichts des sehr engen Zeitfensters bei gleichzeitig beschränkten Ressourcen im Markt nicht alle KRITIS-Unternehmen die gesetzlichen Pflichten rechtzeitig erfüllen können. "Wer sich zu lange nicht damit beschäftigt hat, wie er den Erfordernissen des IT-Sicherheitsgesetzes gerecht werden kann, dem läuft jetzt möglicherweise die Zeit davon. Dann besteht dringender Handlungsbedarf, um Bußgelder zu vermeiden." Firmen- & Pressekontakt