ARCA-Consult GmbH
Wir sichern Unternehmenswerte
ARCA-Consult GmbH

KRITIS – Kritische Infrastruktur

Die Sicherstellung und Einhaltung von Gesetzen und ethischen Vorgaben in einem Unternehmen, werden sowohl vom Gesetzgeber als auch von den Unternehmern selbst, deren Geschäftspartnern und Investoren sowie von der Öffentlichkeit gefordert.

KRITIS

  

Besonders Unternehmen, die der kritischen Infrastruktur angehören, haben eine große Bedeutung für das staatliche Gemeinwesen. Bei Ausfall oder Beeinträchtigung kann es zu langfristigen Versorgungsengpässen, zu erheblichen Störungen der öffentlichen Sicherheit oder weiteren schwerwiegenden Folgen kommen.
Daher benötigen sie einen besonders hohen IT- und Informationsschutz ihrer sensiblen Daten und Informationen und müssen entsprechende Vorsorge leisten.

Weiterführende Informationen finden Sie hier: Bundesamt für Sicherheit in der Informationstechnik

KRITIS-Unternehmen sind zur ISO-Zertifizierung verpflichtet

  • Unternehmen, die der kritischen Infrastruktur (KRITIS) zugeordnet werden und bestimmte Schwellenwerte überschreiten, sind zur ISO-Zertifizierung 27001 verpflichtet.

    Seit 2015 ist durch das IT-Sicherheitsgesetz und des darin enthaltenen IT-Sicherheitskataloges klar definiert, welche Sicherheitsvorkehrungen, vor allem von Betreibern der Kritischen Infrastruktur, verpflichtend eingehalten werden müssen.
  • Auftragnehmer, Zulieferer und weitere Beteiligte in Wertschöpfungsketten, die mit zertifizierten Unternehmen zusammenarbeiten, stabilisieren und verbessern durch ihre eigene Zertifizierung ihre Marktsituation.

    Denn zertifizierte KRITIS-Unternehmen fordern als Auftraggeber von ihren Auftragnehmern ebenfalls die Zertifizierung. Industriezweige und Branchen definieren eigene Zertifizierungs-Standards für Informationssicherheit, z. B. in der Autoindustrie unter  TISAX® / VDA ISA. Bestehende Geschäftsbeziehung können durch eine Zertifizierung gefestigt bzw. überhaupt erst fortgesetzt werden. Neue Geschäftsbeziehungen können entstehen.
  • IT-Sicherheitsvorfälle sind meldepflichtig. KRITIS-Betreiber sind deshalb verpflichtet, relevante Störungen bezüglich ihrer Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen führen können oder bereits geführt haben, unverzüglich an das Bundesamt zu melden.
  • Das IT-Sicherheitsgesetz fordert von KRITIS-Unternehmen die Umsetzung eines Risiko- und Krisenmanagements sowie die Einführung und Aufrechterhaltung eines ISMS (Information Security Management System). Dies muss ständig geprüft, angepasst und verbessert werden.

    Für diese komplexen Maßnahmen empfiehlt es sich, bereits zu Beginn der Planung, die Hilfe spezialisierter Berater wie die der ARCA-Consult, in Anspruch zu nehmen. Detaillierte Informationen dazu finden Sie hier. 

Regularien

  • BSI-Gesetz

    Das BSI-Gesetz regelt die Aufgaben und Befugnisse des BSI (Bundesamt für Sicherheit in der Informationstechnik) als Aufsichts- und Meldebehörde für die Einhaltung von IT-Sicherheit bei Betreibern kritischer Infrastrukturen. 

  • IT-Sicherheitsgesetz

    Ziel des IT-Sicherheitsgesetzes ist die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet. Hierzu beschreibt es Maßnahmen und Methoden. 


  • BSI-Kritisverordnung

    Die BSI-Kritisverordnung regelt, welche Unternehmen aus den KRITIS-Sektoren unter das IT-Sicherheitsgesetz fallen und legt hierfür die Anlagekategorien und Schwellenwerte fest.


  • ISO/IEC 27000-Reihe

    • Die ISO/IEC 27000-Reihe (auch ISO/IEC 27000-Familie oder im Englischen kurz auch ISO27k genannt) beschreibt Standards für Sicherheitsverfahren in der Informationstechnik, wie diese im Rahmen eines Managementsystems eingeführt werden können, welche Anforderungen auf dem Weg zu einer Zertifizierung zu erfüllen sind und welche Maßnahmen zur Zielerreichung erforderlich und sinnvoll sind. 
    • ISO 27001 und 27002: Allgemeine Regelungen und Maßnahmen 
    • ISO 27011: Besondere Regelungen für die Telekommunikationsbranche 
    • ISO 27019: Besondere Regelungen für die Energiewirtschaft 
    • ISO 27033: Besondere Regelungen zum Thema Netzsicherheit 
    • ISO 27701: Besondere Regelungen zum Thema Datenschutz 


  • § 25a KWG

    Hier findet sich der allgemeine Grundsatz für die Informationssicherheit. Regelung der Finanzdienstbranche, soweit sie von der BAFin überwacht werden.  



  • BAIT

    Die BAIT (Bankaufsichtliche Anforderungen an die IT) stellen regulatorische Vorgaben der BaFin dar, die Banken verpflichten, ihre IT-Infrastruktur sicher, effizient und risikoorientiert zu gestalten. Sie legen die Standards für IT-Governance, Informationssicherheit und Risikomanagement fest, um den ordnungsgemäßen und stabilen Betrieb der IT-Systeme in Finanzinstituten sicherzustellen.

  • KAIT

    Die KAIT (Kapitalverwaltungsaufsichtliche Anforderungen an die IT) sind regulatorische Vorgaben der BaFin, die Kapitalverwaltungsgesellschaften dazu verpflichten, ihre IT-Systeme sicher, effizient und risikobewusst zu gestalten. Sie definieren Standards für IT-Governance, Informationssicherheit und Risikomanagement, um den ordnungsgemäßen Betrieb der IT-Infrastruktur und die Einhaltung aufsichtsrechtlicher Vorgaben zu gewährleisten.

  • VAIT

    Die VAIT (Versicherungsaufsichtliche Anforderungen an die IT) sind Richtlinien der BaFin, die Versicherungsunternehmen dazu verpflichten, ihre IT-Strukturen robust und sicher zu gestalten. Sie umfassen Anforderungen an IT-Governance, Informationssicherheitsmanagement und den Umgang mit IT-Risiken, um den sicheren und stabilen Betrieb von IT-Systemen in der Versicherungsbranche zu gewährleisten.

  • DORA

    DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die darauf abzielt, die digitale Resilienz von Finanzunternehmen zu stärken. Sie legt verbindliche Anforderungen an das IT-Risikomanagement, die Cybersicherheit und den Umgang mit IKT-Dienstleistern fest, um sicherzustellen, dass Finanzinstitute widerstandsfähig gegenüber IT-Störungen und Cyberangriffen sind und so die Stabilität des gesamten Finanzsystems gewährleistet bleibt.

  • TISAX®/ VDA ISA

    Trusted Information Security Assessment Exchange - ist ein Standard für Informationssicherheit, der von der Automobilindustrie für diese festgelegt wurde und die Standards in Wertschöpfungsketten vereinheitlicht. Weitere Informationen dazu finden Sie hier.

Institutionen, Aufsichts- und Meldebehörden

  • BSI

    Das Bundesamt für Sicherheit in der Informationstechnik ist eine Aufsichts- und Meldebehörde für Vorfälle bei der Sicherheit in der Informationstechnik.

  • BAFin

    Die Bundesanstalt für Finanzdienstleistungsaufsicht überwacht die Geschäftstätigkeit von Finanzdienstleistern (Kreditinstitute und Versicherungen) sowie deren gesetzeskonformen Umgang mit Risikopositionen und die Eigenkapitalausstattung.

  • Bundesnetzagentur

    Die Bundesnetzagentur ist für den sicheren und wettbewerbsrechtlich konformen Betrieb von Versorgungs- und Kommunikationsnetzen zuständig.

  • Datenschutzbehörden

    des Bundes und der Länder überwachen den konformen datenschutzrechtlichen Umgang mit personenbezogenen Daten und sanktionieren Rechtsverstöße. Mehr Informationen zum Thema Datenschutz und den damit verbundenen Rechten und Pflichten finden Sie hier.

  • ENISA

    European Union Agency for Cybersecurity koordiniert und überwacht die Anwendung von Maßnahmen zur Abwehr von Cyberangriffen.

  • ISO und IEC

    International Organization for Standardization und International Electrotechnical Commission setzen die Normen für Anforderungen an Informations-Sicherheits-Management-Systeme (ISMS).