Neue Pflichten für KRITIS-Unternehmen

Köln/Stuttgart (pts009/10.06.2020/09:00) – Nachdem im Mai 2020 ein neuer Referentenentwurf öffentlich wurde, nimmt die Diskussion um das IT-Sicherheitsgesetz 2.0 wieder Fahrt auf. Bevor sich TÜV TRUST IT mit dieser Weiterentwicklung beschäftigt, richtet das TÜV AUSTRIA-Tochterunternehmen seinen Blick auf ein anderes Dokument des BSI, das maßgeblich die Richtung für KRITIS-Unternehmen vorgeben könnte.

Im Februar 2020 hat das BSI ein Dokument mit dem Titel „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ veröffentlicht. Dieses Dokument soll KRITIS-Betreibern Hinweise geben und versteht sich als Orientierungsmaßstab und Hilfestellung .

Die in diesem Dokument definierten 100 Anforderungen sind in der Tat sehr konkret . So wird u.a. der Betrieb eines ISMS ebenso gefordert wie das Einrichten eines BCM . Des Weiteren werden jährliche Prüfungen der IT-Systeme gefordert, ebenso wie die Durchführung eines jährlichen Penetrationstests . Viele Anforderungen lehnen sich an Standards wie die ISO 27001 an.

Nun ist die Umsetzung dieser Anforderungen zwar nicht verbindlich, jedoch wird man sich als Orientierungsmaßstab des BSI damit auseinandersetzen müssen. Auch wenn das Gesetz nicht explizit fordert, dass ein ISMS eingerichtet werden muss, bleibt die Frage offen, wie die Anforderungen des IT-SiG ohne die Einrichtung eines ISMS erfüllt werden kann. Faktisch kann daraus also geschlossen werden, dass KRITIS-Betreiber ein ISMS – sofern Sie dies noch nicht getan haben – für ihre KRITIS-Anlagen aufbauen und betreiben müssen.

Diese Ansicht wird durch eine weitere Neuerung bestärkt. Das BSI hat inzwischen ein neues „Nachweisdokument P“ vorgeschlagen. Dieses Nachweisdokument soll die bisherigen Formulare PD, PE und PS zusammenfassen. Allerdings sieht es darüber hinaus vor, dass der Reifegrad des ISMS eines KRITIS-Betreibers zu bewerten ist. Außerdem soll analog der Reifegrad eines BCMS bewertet werden.

Auch wenn dieses Nachweisdokument noch nicht verbindlich ist, so zeigt es doch die Richtung auf, in die die Neuerungen des IT-Sicherheitsgesetzes gehen könnten. TÜV TRUST IT empfiehlt allen KRITIS-Betreibern, sich zeitnah mit diesen Anforderungen zu beschäftigen. Das o.g. BSI-Dokument findet sich auf der Website des BSI, gerne stellt TÜV TRUST IT Unternehmensgruppe TÜV AUSTRIA Kunden und Interessenten dieses Dokument auf Anfrage zu Verfügung und unterstützt bei dessen Umsetzung. https://www.it-tuv.com

(Ende)

Aussender: TÜV TRUST IT TÜV AUSTRIA Ansprechpartner: Mariana Schäfer Tel.: +49 221 969789 61 E-Mail: mariana.schaefer@tuv.at Website: www.it-tuv.com