Menu

Start > News > ITK-News > KRITIS

KRITIS

Termine und Fristen beachten

Das IT-Sicherheitsgesetz fordert für sicherheitskritische Sektoren umfangreiche Maßnahmen. Viele Unternehmen sind allerdings noch unsicher, was sie wirklich tun müssen. Dabei müssen bereits jetzt Termine und Fristen beachtet werden. Wer nicht rechtzeitig tätig wird, geht hohe Haftungsrisiken ein.

Unternehmen aus versorgungskritischen Sektoren wie dem Energiebereich, Wasser- und Abwasser, Telekommunikation oder Gesundheit und Ernährung haben dringenden Handlungsbedarf. Das IT-Sicherheitsgesetz (ITSiG) gibt zahlreiche Fristen vor. So musste bis zum 03.11.2016 eine Kontaktstelle gemeldet werden. Ab dem 03.05.2018 sind Störfälle wie Hackerangriffe oder DoS-Attacken (Denial of Service) zu melden. Bis zu diesem Termin müssen auch umfangreiche technische Schutzmaßnahmen umgesetzt worden sein – mit abweichenden Vorgaben und Terminen für einzelne Sektoren, wie für Gas- und Energienetzbetreiber. Dabei ist die Umsetzung des vorgegebenen IT-Sicherheitskonzepts alles andere als trivial. Für die Einführung müssen je nach Unternehmen und verfügbarer Ressourcen zwei bis drei Jahre eingeplant werden.

Entscheider können persönlich haftbar gemacht werden

Unternehmen, die den gesetzlichen Anforderungen an die IT-Sicherheit nicht gerecht werden, gehen hohe Haftungsrisiken ein. Vorstände, Geschäftsführer oder Verwaltungsleiter können auch persönlich in die Haftung genommen werden, wenn sie ihrer Verpflichtung zu einem effizienten Risikomanagement nicht nachkommen.
Aus dem IT-Sicherheitsgesetz ergeben sich klare Vorgaben. Für die IT-Sicherheit ist ein Informations-Sicherheits-Management-System (ISMS) umzusetzen. Das umfasst eine Sicherheitsstrategie, eine Sicherheitsorganisation und entsprechende Sicherheitsprozesse.

Der geforderte Sicherheitsstandard kann umfangreiche organisatorische, technische, personelle und infrastrukturelle Anpassungen erforderlich machen, wie beispielsweise Baumaßnahmen für die Zutrittssicherheit oder den Brandschutz. Maßgeblich sind die Vorgaben der internationalen Sicherheitsnorm DIN ISO 27001 und/oder die Vorgaben des IT-Grundschutzes vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Systematische Umsetzung gesetzlicher Vorgaben

Für die Umsetzung des Sicherheitskonzepts ist ein detaillierter Maßnahmenkatalog abzuarbeiten und anschließend eine Zertifizierung nach ISO 27001 erforderlich. Die betroffenen Unternehmen aus kritischen Sektoren müssen rechtzeitig prüfen, ob das Know-how und die internen Ressourcen für die Umsetzung eines ISMS ausreichen.

Abb. Welche Maßnahmen sind erforderlich? Eine Schutzbedarfsanalyse untersucht mögliche Schadensauswirkungen.


DOK SYSTEME empfiehlt hier eine schrittweise Einarbeitung in das Thema. Ein eintägiges Seminar zu KRITIS gibt bereits einen guten Überblick. Ein Einstiegs-Workshop ist geeignet, eine erste Bestandsaufnahme durchzuführen und eine sinnvolle Vorgehensweise zu definieren. In einer sogenannten Schutzbedarfsanalyse kann dann die Höhe des Schutzbedarfs ermittelt werden.

Im Weiteren ist dann unter Vorgabe der Sicherheitsleitlinie ein Sicherheitskonzept zu erarbeiten und ein Abgleich zwischen den potenziellen Gefährdungen und den bestehenden Schutzmaßnahmen vorzunehmen. Das Ergebnis ist ein Maßnahmenkatalog, der umgesetzt werden muss, bevor das Unternehmen den festgelegten Schutzlevel erreicht. Dieser Prozess ist zeitaufwendig und erfordert i.d.R. externe Ressourcen, um gemeinsam mit den Fachabteilungen die notwendigen Arbeiten abzustimmen und durchzuführen.



Felix Fehlau |
Senior Expert Consultant | Tel. +49 (0) 5131 49 33 0

Sie haben Fragen oder Anmerkungen zu diesem Artikel?

Dann freuen wir uns auf Ihre Kontaktaufnahme!

Schicken Sie uns auch Ideen und Wünsche für zukünftige Themen, die Sie und Ihre Kollegen besonders interessieren. Wir greifen diese gern auf.

Was ist die Summe aus 1 und 3?

Zur Bearbeitung Ihrer Anfrage werden die erhaltenen personenbezogenen Daten erhoben und verarbeitet. Nähere Informationen zum Datenschutz, insbesondere zu Ihren Betroffenenrechten, finden Sie in unserer Datenschutzerklärung.

Dieser Beitrag wurde verschlagwortet mit: Funk, IP-Telefonie, IT, IT-Security, KRITIS, PMR, UCC

Zurück

Schlagwörter
Archiv
Newsletteranmeldung

zum 3-4 Mal pro Jahr erscheinenden kostenlosen E-Mail-Newsletter mit Expertenbeiträgen zu ITK-/Vergabe-Themen und Trends sowie den DOK NEWS.

  • * Pflichtfeld

    Mit dem Anklicken des Buttons „Anmelden“ geben Sie Ihre Einwilligung in die Erhebung, Verarbeitung und Nutzung Ihrer oben angegebenen Daten zum Zwecke des E-Mail-Newsletter-Versandes. Sie bestätigen zudem, dass Sie die Datenschutzerklärung der DOK SYSTEME zur Kenntnis genommen haben.
Newsletterabmeldung

Sie möchten sich von unserem Newsletter abmelden? Klicken Sie bitte hier und Sie gelangen zu unserem Abmeldeformular.

{literal}