KRITIS Audit

Sicherheitsnachweis für Betreiber kritischer Infrastrukturen

Mit zunehmender Digitalisierung werden moderne Infrastrukturen effizienter und intelligenter – jedoch auch anfälliger für Störungen und Ausfälle, beispielsweise durch Angriffe von Cyberkriminellen. Um diese für die Allgemeinheit essentiellen Infrastrukturen bestmöglich zu schützen, hat das Bundesamts für Sicherheit in der Informationstechnik (BSI) gesetzliche Vorgaben erlassen.

Mit dem BSI-Gesetz werden Betreiber kritischer Infrastrukturen (KRITIS) verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz vor Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Der Stand der Technik soll hierbei eingehalten werden.

NIS-2: Be the Early Bird!

Bis Oktober 2024 wird die NIS-2-Richtlinie in nationales Recht überführt werden. Bereiten Sie Ihr Unternehmen frühzeitig vor: Mit einer Gap-Analyse decken Sie konkrete Abweichungen der Sicherheitsorganisation in Ihrem Unternehmen zu den Vorgaben der NIS-2 auf. So können Sie im kommenden Jahr geeignete Implementierungsprojekte planen und umsetzen. Erfahren Sie hier mehr.

Sind Sie Betreiber kritischer Infrastrukturen (KRITIS)?

Für jeden KRITIS-relevanten Sektor hat das BSI unterschiedliche Schwellenwerte festgelegt. Erreicht ein Unternehmen den Schwellenwert, gilt es als Betreiber kritischer Infrastrukturen.

Auch, wenn Ihr Unternehmen nicht als KRITIS-Unternehmen eingestuft ist, können IT-Sicherheitszertifizierungen für Sie notwendig sein. Insbesondere dann, wenn Sie Partner oder Zulieferer eines KRITIS-Unternehmens sind.

Die Verordnung richtet sich an folgende Sektoren:

  • Energie (Strom- und Gasversorgung)
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen

Wie erfolgt der Nachweis?

Als Betreiber kritischer Anlagen müssen Sie einen speziellen Prüfbericht anfertigen lassen, mit dem Sie dem BSI bestätigen, dass Ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Hierzu müssen Sie ein KRITIS-Audit nach dem § 8a Absatz 3 BSIG von einem externen Auditor durchführen lassen. Nach erfolgtem Audit bestätigt eine unabhängige, akkreditierte Prüfstelle Ihre IT-Sicherheit. Welche Sicherheitsanforderungen Sie im Einzelnen erfüllen müssen, hängt von Ihrer Branche ab. In vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S) werden diese Anforderungen konkretisiert.

Um sich optimal auf das Audit vorzubereiten, sollten Sie im Vorfeld

  • Einen Netzstrukturplan erstellen
  • Risikoanalysen durchführen
  • Ein internes Vorab-Audit durchführen

Wie können wir helfen?

Als IT-Security-Beratungshaus und akkreditierter Qualified Security Assessor mit langjähriger Erfahrung in den unterschiedlichsten IT-Security-Beratungsprojekten und Prüfungen sind wir der optimale Partner für Ihr KRITIS-Audit. 

Auf den Webseiten des BSI können Sie nachlesen, welche strengen Auflagen wir erfüllen, um Prüfungen nach dem § 8a Absatz 3 BSIG durchführen zu dürfen. Hierzu zählen beispielsweise:

  • Einheitlichkeit bei Sicherheitsprüfungen
  • Unabhängigkeit und Neutralität
  • Kompetente und umfangreiche personelle Ressourcen
  • Sichere Infrastruktur, Systeme und Anwendungen
  • Belastbares Wissen in den Bereichen Informationssicherheit und Informationssicherheitsmanagementsysteme (ISMS)
  • Vertrautheit mit gängigen Normen und Standards der IT- und Informationssicherheit

Synergieeffekte mit anderen Zertifizierungen

Für den KRITIS-Nachweis können vorhandene IT-Sicherheitszertifizierungen angerechnet werden. Nutzen Sie Überschneidungen und kombinieren Sie beispielsweise Ihr KRITIS-Audit mit Ihrem PCI DSS Assessment. So sparen Sie Zeit und Aufwand.

Wie gehen wir vor?

Phase 1

Prüfungsvorbereitung, inklusive der Wahl der Prüfungsgrundlage sowie der Prüfung des Geltungsbereichs

Phase 4

Vor-Ort-Prüfung

Phase 2

Erstellung des Prüfplans

Phase 5

Nachbereitung der Vor-Ort-Prüfung

Phase 3

Dokumentationsprüfung

Phase 6

Erstellung des Prüfberichts

Mehr zum Thema KRITIS

Sie wollen tiefer ins Thema KRITIS einsteigen? Werfen Sie einen Blick in unsere bereits erschienenen Blogbeiträge:

Ihr KRITIS Audit

Fällt Ihr Unternehmen unter die KRITIS-Verordnung? Benötigen Sie Unterstützung beim Sicherheitsnachweis oder haben Sie Fragen hierzu?

Lassen Sie sich unverbindlich von unseren Expert*innen beraten.

Kontaktieren Sie uns

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: ­ +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Anna-Magdalena Kohl
usd Team Lead Sales,
PCI Professional