Anforderungskatalog für Betreiber kritischer Infrastrukturen (Kritis)

Mit Beschluss der Cyber-Sicherheitsstrategie der Bundesregierung sollen die IT-Systeme und digitalen Infrastrukturen in Deutschland geschützt werden, um einen Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen mit Folgen für Wirtschaft, Staat und Gesellschaft zu verhindern. Mit dem IT-Sicherheitsgesetz (IT-SiG) wurden Vorgaben zum Schutz kritischer Infrastrukturen (Kritis) definiert.

Einzelne Sektoren wie z.B. Gesundheitswesen, Wasser- und Energieversorgung haben in der Vergangenheit eigene branchenspezifische Sicherheitsstandards (B3S) mit dem BSI erarbeitet, um Rahmenwerke zur Auswahl, Umsetzung und Prüfung der Sicherheitsvorkehrungen zu erstellen und damit auch die Anforderungen zu konkretisieren.

Ein für alle Kritis-Betreiber anwendbarer Anforderungskatalog existierte bisher allerdings nicht, sodass insbesondere die Branchen, die keinen B3S hatten, eine gewisse Planungsunsicherheit im Rahmen der Ausrichtung an der Kritis-Verordnung sowie der entsprechenden Nachweiserbringung hatten. Auch der Banken- und Finanzdienstleistungssektor ist ein solcher Sektor ohne B3S.

Konkretisierung der Anforderungen

Am 23. März 2020 hat das BSI die „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ veröffentlicht. Der Anforderungskatalog wurde in Zusammenarbeit mit dem Fachausschuss für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer (IDW) auf Basis des C5-Kataloges entwickelt.

Der vorliegende Anforderungskatalog stellt zwar kein zwingendes Kriterium dar, sodass einzelne Unternehmen oder Branchen weiterhin an individuellen Standards festhalten können. Allerdings bietet das BSI allen Betreibern von kritischer Infrastruktur sowie ihren Prüfern einen konkreten Rahmen zur Auswahl, Umsetzung und Prüfung der von ihnen gemäß § 8a Absatz 1 BSIG umzusetzenden Sicherheitsvorkehrungen.

Der Anforderungskatalog deckt die folgenden Themenbereiche ab:

Ausblick

Wir haben auch in unseren bisherigen Kritis-Prüfungen bereits einen vergleichbaren Anforderungskatalog herangezogen und sind der Meinung, dass die Veröffentlichung des BSI zu einer weiteren Vereinheitlichung des Sicherheits- und Prüfungsniveaus sinnvoll beitragen wird. Für einen Austausch zu unseren bisherigen Erfahrungen mit diesen Anforderungen stehen wir gerne zur Verfügung.

Darüber hinaus steht ein für prüfende Stellen relevanter Prüfungshinweis (IDW PH 9.860.2) inkl. konkretisierender Prüfungshandlungen kurz vor der Veröffentlichung – wir werden Sie an gleicher Stelle in diesem Blog informieren.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */