KRITIS-Prüfung
IT-Sicherheit für Betreiber kritischer Infrastrukturen
Um die Sicherheit von Gesellschaft und Wirtschaft zu gewährleisten, sind Betreiber kritischer Infrastrukturen in Deutschland durch das IT-Sicherheitsgesetz (IT-SiG) in der 2021 novellierten Version 2.0 und die entsprechend aktualisierte KRITIS-Verordnung (KritisV) verpflichtet, ein jetzt erweitertes Mindestsicherheitsniveau umzusetzen, nachzuweisen und verschärfte Meldepflichten einzuhalten.
Unsere erfahrenen Sachverständigen überprüfen und bewerten das aktuelle Schutz- und Sicherheitsniveau Ihrer IT-Infrastruktur nach den vom Gesetzgeber festgelegten transparenten Kriterien und unterstützen Sie dabei, die neuen Anforderungen effektiv zu erfüllen.
Sie möchten mehr zur Prüfung kritischer Infrastrukturen gemäß IT-SiG 2.0 und KRITIS-Verordnung wissen?
Jetzt Gesprächstermin vereinbaren!
Wir unterstützen Sie umfassend in den folgenden Sektoren:
Netzbetreiber (Energie)
Strom- und Gasnetzbetreiber sind von der Bundesnetzagentur (BNetzA) aufgefordert, ein zertifiziertes Informationssicherheits-Managementsystem auf Basis des IT-Sicherheitskataloges einzuführen, um so eine sichere Energieversorgung sicherzustellen. Unsere Sachverständigen begleiten Sie bei Ihrer Prüfung nach den Anforderungen des 1. Sicherheitskataloges von Ihrem individuellen Erstangebot bis zum Erhalt Ihres Zertifikats sicher und kompetent.
Versorger/ Erzeuger (Energie)
IT und Telekommunikation
Ernährung
Wasser/ Abwasser
Transport und Verkehr
Gesundheit
Finanz- und Versicherungswesen
Entsorgung von Siedlungsabfällen
Unternehmen im besonderen öffentlichen Interesse
Schutz kritischer Infrastrukturen verlässlich umgesetzt
Infrastrukturen werden als kritisch eingestuft, wenn Einrichtungen, Anlagen oder Teile davon aufgrund von Vernetzungsgröße und -grad eine große Bedeutung für das staatliche Gemeinwesen haben und bei deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe, Einschränkungen der öffentlichen Sicherheit oder andere dramatische Folgen drohen.
Der Gesetzgeber hat in 2021 nach
dem IT-Sicherheitsgesetz 2.0
auch eine aktualisierte
KRITIS-Verordnung in der Version 1.5
(auch KRITIS-Verordnung 2.0 genannt) herausgegeben. Diese ist seit 1. Januar 2022 in Kraft und definiert,
welche Anlagen und Betreiber zur kritischen Infrastruktur
gehören und welche Schwellenwerte für die Einstufung gelten. Der KRITIS-Sektor Siedlungsabfallentsorgung und die UBI/UNBÖFI werden 2022 noch in einer separaten KRITIS-Verordnung 2.0 sowie einer UBI-Verordnung definiert.
KRITIS-Betreiber sind gemäß der KritisV 1.5 dazu verpflichtet
- eine Kontaktstelle zu benennen
- IT-Störungen umgehend zu melden
- den "Stand der Technik" gemäß branchenspezifischer Sicherheitsstandards umzusetzen
- und dies im zweijährigen Turnus gegenüber dem BSI nachzuweisen (§ 8a BSIG Abs. 3).
Als Nachweis über die Einhaltung akzeptiert das BSI Sicherheitsaudits, Prüfungen oder Zertifizierungen. Unternehmen müssen die Ergebnisse an das Bundesamt für Sicherheit in der Informationstechnik übermitteln. Sollten Sicherheitsmängel auftreten, kann das BSI deren Beseitigung verlangen.
Im Unterschied zu den meisten benannten Infrastrukturbereichen, die wir im Rahmen unserer KRITIS-Services überprüfen, werden Strom- und Gasnetzbetreiber zusätzlich nach dem IT-Sicherheitskatalog gemäß §11 Abs. 1a der Bundesnetzagentur (BNETZA) zertifiziert. Die Grundlage für die Akkreditierung der Zertifizierungsstelle bei der deutschen Akkreditierungsstelle (DAkkS) ist dabei das Konformitätsbewertungsprogramm.
Ablauf der KRITIS-Prüfung
Unsere Sachverständigen bieten Ihnen umfassende Zertifizierungen und Prüfungen als Nachweis zur Einhaltung der KRITIS-Verordnung. Dafür müssen Sie sich als Betreiber kritischer Infrastrukturen beim BSI melden und registrieren. In Ihrem Unternehmen sollten Sie ein den Anforderungen entsprechendes Niveau für Cyber Security und IT-Sicherheit umgesetzt haben. Dazu gehören organisatorische Maßnahmen wie ein implementiertes Informationssicherheitsmanagementsystem (ISMS), technologische Schutzmaßnahmen nach dem Stand der Technik zum Schutz Ihrer IT- und OT-Infrastruktur sowie auch Systeme und Prozesse zur Angriffserkennung wie zum Beispiel ein Security Incident Management (SIEM) oder ein Security Operation Center (SOC).
Eine KRITIS-Prüfung durch unsere Sachverständigen erfolgt in 6 Schritten:
- Prüfungsvorbereitung, inklusive der Wahl der Prüfungsgrundlage sowie der Prüfung des Geltungsbereichs
- Erstellung des Prüfplans
- Dokumentationsprüfung
- Vor-Ort-Prüfung
- Nachbereitung der Vor-Ort-Prüfung
- Erstellung des Prüfberichts und der Mängelliste
Weitere Services
Über KRITIS
Mit der aktuellen Fassung des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) von 2021 kommen zahlreiche Neuerungen und erweiterte Verpflichtungen auf die Betreiber kritischer Infrastrukturen zu. Unter anderem wurden die Definition der KRITIS-Sektoren wie auch die Schwellenwerte geändert.
Das IT-SiG 2.0 verpflichtet zudem alle KRITIS-Betreiber, spätestens bis zum 01.05.2023 erweiterte Sicherheitsmaßnahmen für Ihre IT umzusetzen.
Dafür sind die IT-Systeme auf den neuesten Stand der Technik zu bringen, um deren Störanfälligkeit so gering wie möglich zu halten. Die KRITIS-Betreiber müssen dies in Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen.
Dafür sind die IT-Systeme auf den neuesten Stand der Technik zu bringen, um deren Störanfälligkeit so gering wie möglich zu halten. Die KRITIS-Betreiber müssen dies in Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen.
Auch das als Kontrollbehörde zuständige BSI erhält erweitere Kompetenzen und ist beispielsweise für die Konkretisierung des neuesten „Stands der Technik“ für IT-Sicherheitsprodukte zuständig und besitzt zukünftig auch die Befugnis, selbst Sicherheitsrisiken – zum Beispiel durch entsprechende Angriffsszenarien – zu detektieren. Mögliche Bußgelder bei Verstößen können nun bis zu maximal 20 Millionen Euro betragen.
Mit Know-how das IT-Sicherheitsgesetz verlässlich umsetzen
- Unsere Sachverständigen unterstützen Sie aufgrund unserer langjährigen Erfahrungen und unseres umfassenden Know-hows bei der Sicherherstellung der IT-Sicherheit Ihrer kritischen Infrastrukturen.
- Mit einer neutralen Prüfung durch die renommierten DEKRA Auditoren und Auditorinnen zeigen Sie Ihre Kompetenzen vertrauenswürdig und global.
- Nutzen Sie auch unsere Dienstleistungen in anderen Bereichen der Unternehmenssicherheit und profitieren Sie von der Möglichkeit einer Kombizertifizierung, wie beispielsweise mit der ISO 9001 Zertifizierung oder der ISO 27001 Zertifizierung.
Sie möchten mehr zu unserem Prüfspektrum für kritische Infrastrukturen und die KRITIS-Prüfung erfahren?
Vereinbaren Sie jetzt Ihren persönlichen Gesprächstermin!