Diese Seite verwendet Cookies. Cookies werden zur Benutzerführung und Webanalyse verwendet und helfen dabei, diese Seite besser zu machen.     Ja, ich stimme zu.  Nein, ich wünsche mehr Informationen.
Managerhaftung bei KRITIS-Betreibern

Managerhaftung bei KRITIS-Betreibern

06 Mär 2019

Betreiber von kritischen Infrastrukturen (KRITIS) sind gesetzlich verpflichtet, ihre IT-Infrastruktur vor Angriffen und Störungen technisch und organisatorisch zu sichern, dieses zu dokumentieren und nachzuweisen. Die Implementierungs- und Meldepflicht für KRITIS-relevante Unternehmen aus den Sektoren Energie, Wasser, Ernährung, ITK (Korb 1) ist am 3. Mai 2018 abgelaufen.

Nun muss der so genannte zweite Korb – mit den Sektoren Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen – die KRITIS-Verordnung bis 30. Juni 2019 erfüllen, das heißt konkret, dem BSI einen Mindestschutz an IT-Sicherheit nachweisen. Sie sind verpflichtet eine Kontaktstelle zu benennen, IT-Störungen zu melden, den „Stand der Technik“ umzusetzen und dies alle zwei Jahre zu belegen.

 

 

Erhöhte IT-Sicherheit unabdingbar

Eine Störung, Beeinträchtigung oder ein Ausfall durch einen Cyber-Angriff oder IT-Sicherheitsvorfall kann zu nachhaltig wirkenden Problemen führen. Dadurch entstehen vor allem finanzielle Folgen durch Produktionsausfälle, Schäden am Inventar, Patentdiebstahl oder Cyber-Erpressung. Deshalb führt an einer rechtskonformen, technisch sicheren und wirtschaftlich effizienten IT-Sicherheitsarchitektur kein Weg vorbei.

Die Praxis zeigt, dass der effektivste Weg zur Vermeidung von Reputationsschäden, Bußgeldern und Haftungsansprüchen die Validierung durch Dritte ist. Dieser Nachweis kann durch die Zertifizierung nach einem zugelassenen Standard erbracht werden.

 

 

Dokumentation als Grundvoraussetzung

Die Verantwortlichen müssen sich einen Überblick über die internen und externen Anforderungen ihrer KRITIS verschaffen und die einzelnen IT-Bestandteile, Dienste und Prozesse kennen, um diese mit einer angemessenen Schutzklasse bewerten zu können. Erst daraus ergeben sich Dokumentationsaufwand und gegebenenfalls Umfang und Art der umzusetzenden technischen und organisatorischen Maßnahmen für ein hohes Sicherheits- oder Qualitätsniveau. Die belastbare Informations- und Datensicherheit baut auf dem klassischen Qualitätsmanagement nach ISO 9001:2015 auf. Dieses in Kombination mit einem Managementsystem für Informationssicherheit (ISMS) nach DIN EN ISO/IEC 27001 zu betreiben und zu verbessern, beschreibt technische und organisatorische Maßnahmen, sowie die bewerteten Schutzklassen. Erst in Verbindung mit den Informationssicherheitsmaßnahmen für den jeweiligen Sektor sind die KRITIS-Anforderungen erfüllt.

 

 

Intern und extern müssen zusammenarbeiten

Niemand kennt Ihre Prozesse besser als Sie selbst. Es empfiehlt sich daher, interne Ressourcen zu bestimmen, den zeitlichen Rahmen festzulegen und erforderliche Mittel zur Verfügung zu stellen. Eine externe Besetzung kann immer nur als Rahmenwerk und Leitfaden verstanden werden.

 

 

DEKRA-Experten für Informationssicherheit

Sie suchen einen kompetenten Ansprechpartner für dieses Thema? Treten Sie mit unseren Cyber Security Experten in Kontakt:

Telefon: +49 711 7861-3430

 

 

DEKRA Certification

  • Telefon: +49 711 7861-2566
  • Anschrift: Handwerkstraße 15, 70565 Stuttgart

Schreiben Sie uns