KRITIS-Prüfung
IT-Sicherheit für Betreiber kritischer Infrastrukturen
Um die Sicherheit von Gesellschaft und Wirtschaft zu gewährleisten, sind Betreiber kritischer Infrastrukturen in Deutschland durch das IT-Sicherheitsgesetz (IT-SiG) in der 2021 novellierten Version 2.0 und die entsprechend aktualisierte KRITIS-Verordnung (KritisV) verpflichtet, ein jetzt erweitertes Mindestsicherheitsniveau umzusetzen, nachzuweisen und verschärfte Meldepflichten einzuhalten.
Unsere erfahrenen KRITIS-Prüfer überprüfen und bewerten das aktuelle Schutz- und Sicherheitsniveau Ihrer IT-Infrastruktur nach den vom Gesetzgeber festgelegten transparenten Kriterien und unterstützen Sie dabei, die neuen Anforderungen effektiv zu erfüllen.
Sie möchten mehr zur Prüfung kritischer Infrastrukturen gemäß § 8a BSIG zur Erfüllung entsprechender Anforderungen aus dem IT-SiG 2.0, unter Berücksichtigung von Vorgaben aus der KritisV wissen?
Jetzt Gesprächstermin vereinbaren!
Schutz kritischer Infrastrukturen verlässlich umgesetzt
Infrastrukturen werden als kritisch eingestuft, wenn Einrichtungen, Anlagen oder Teile davon aufgrund von Vernetzungsgröße und -grad eine große Bedeutung für das staatliche Gemeinwesen haben und bei deren Ausfall oder Beeinträchtigung erhebliche VersorgungseInfrastrukturen werden als kritisch eingestuft, wenn Einrichtungen, Anlagen oder Teile davon aufgrungpässe, Einschränkungen der öffentlichen Sicherheit oder andere dramatische Folgen drohen.
Die 4. Änderungsverordnung der BSI-Kritis-verordnung ist am 1.1.24 in Kraft getreten. In der KritisV ist definiert,
welche Anlagen und Betreiber zur kritischen Infrastruktur
gehören und welche Schwellenwerte für die Einstufung gelten.
Der Entwurf der NIS2-Umsetzung von November 2024 entält in Art. 8 eine geänderte Fassung der bisherigen BSI-Kritisverordnung für NIS2. Mit NIS2 wird möglicherweise keine neue Rechtsverordnung zur Bestimmung kritischer Anlagen erlassen, sondern die bisherige angepasst.
KRITIS-Betreiber sind gemäß § 8a BSIG dazu verpflichtet
- eine Kontaktstelle zu benennen
- IT-Störungen umgehend zu melden
- den "Stand der Technik" bei der Umsetzung von Sicherheitsmaßnahmen einhalten (§8a Abs.1 Satz. 2 BSIG).
- und dies im zweijährigen Turnus gegenüber dem BSI nachzuweisen (§ 8a BSIG Abs. 3).
Es muss vom Betreiber eine sogenannte Prüfgrundlage erstellt werden, die mit dem Prüfdienstleister später abzustimmen ist. Diese soll aus verschiedenen Quellen, Normen und Regelwerken bestehen, z.B. der ISO 27001 oder auch eines Branchenspezifischen Sicherheitsstandards (B3S).
Unternehmen müssen die Ergebnisse an das Bundesamt für Sicherheit in der Informationstechnik übermitteln. Sollten Sicherheitsmängel auftreten, kann das BSI deren Beseitigung verlangen.
Wir unterstützen Sie umfassend in den folgenden Branchen:
- Gesundheitswesen: Krankenhäuser
- IT & TK: Rechenzentren
- Transport & Verkehr: Tankstellennetzbetreiber
- Transport & Verkehr: Verkehrs(netz)steuerungsbetriebe
- Energie: Energiehandel
Ablauf der KRITIS-Prüfung
Die DCG bietet KRITIS-Prüfungen für ausgewählte Branchen an als Nachweis zur Einhaltung gesetzlicher Vorgaben. Dafür müssen Sie sich als Betreiber kritischer Infrastrukturen beim BSI melden und registrieren. In Ihrem Unternehmen sollten Sie ein den Anforderungen entsprechendes Niveau für Cyber Security und IT-Sicherheit umgesetzt haben. Dazu gehören technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik zum Schutz Ihrer IT- und OT-Infrastruktur sowie auch der Einsatz von Systemen zur Angriffserkennung (SzA).
Eine KRITIS-Prüfung durch unsere Prüfer erfolgt in 6 Schritten:
- Prüfungsvorbereitung, inklusive der Wahl der Prüfungsgrundlage sowie der Prüfung des Geltungsbereichs
- Erstellung des Prüfplans
- Dokumentationsprüfung
- Vor-Ort-Prüfung
- Nachbereitung der Vor-Ort-Prüfung
- Erstellung des Prüfberichts und der Mängelliste
Über KRITIS
Mit der aktuellen Fassung des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) von 2021 kommen zahlreiche Neuerungen und erweiterte Verpflichtungen auf die Betreiber kritischer Infrastrukturen zu. Unter anderem wurden die Definition der KRITIS-Sektoren wie auch die Schwellenwerte geändert.
Das IT-SiG 2.0 verpflichtet zudem alle KRITIS-Betreiber, seit dem 01.05.2023 erweiterte Sicherheitsmaßnahmen für Ihre IT umzusetzen.
Dafür sind die IT-Systeme auf den neuesten Stand der Technik zu bringen, um deren Störanfälligkeit so gering wie möglich zu halten. Die KRITIS-Betreiber müssen hierfür eine sog. KRITIS-Prüfung durchführen und das Ergebnis als Prüfnachweis beim BSI einreichen.
Dafür sind die IT-Systeme auf den neuesten Stand der Technik zu bringen, um deren Störanfälligkeit so gering wie möglich zu halten. Die KRITIS-Betreiber müssen hierfür eine sog. KRITIS-Prüfung durchführen und das Ergebnis als Prüfnachweis beim BSI einreichen.
Auch das als Kontrollbehörde zuständige BSI erhält erweitere Kompetenzen und Informatonen zum „Stands der Technik“ für IT-Sicherheitsprodukte zur Verfügung und besitzt zukünftig auch die Befugnis, selbst Sicherheitsrisiken – zum Beispiel durch entsprechende Angriffsszenarien – zu detektieren. Mögliche Bußgelder bei Verstößen können nun bis zu maximal 20 Millionen Euro betragen.
Mit Know-how das IT-Sicherheitsgesetz verlässlich umsetzen
- Unsere KRITIS-Prüfer unterstützen prüfen unabhängig und sachlich, ob die definierten Anforderungen (Prüfgrundlage) umgesetzt sind oder Mängel beseitigt werden müssen.
- Mit einer neutralen Prüfung zeigen Sie Ihre Kompetenzen vertrauenswürdig und global.
Sie möchten mehr zu unserem Prüfspektrum für kritische Infrastrukturen und die KRITIS-Prüfung erfahren?
Vereinbaren Sie jetzt Ihren persönlichen Gesprächstermin!