KRITIS: Gesetzesänderung zum 1. Mai 2023
KRITIS: Einsatz – Anforderungen – Organisation – Nachweispflicht
Cyber-Attacken haben ein bedrohliches Ausmaß angenommen, deshalb hat der Gesetzgeber bzw. das Bundesamt für Sicherheit in der Informationstechnik (BSI) allen Betreibern Kritischer Infrastrukturen neue Bestimmungen auferlegt: Diese ergänzen die bisherigen Verpflichtungen, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen zu treffen“. Ziel ist, Cyber-Angriffe so früh wie möglich zu erkennen und mögliche Schäden zu minimieren bzw. komplett zu verhindern.
Was genau bedeutet KRITIS?
Eine Kritische Infrastruktur (KRITIS) ist ein IT-System, dessen Ausfall oder Störung zu schwerwiegenden Auswirkungen auf wichtige gesellschaftliche Funktionen führen kann. KRITIS sind unter anderem in den Bereichen Energieversorgung, Wasser- und Abwasserversorgung, Telekommunikation, Verkehr, Gesundheit, Finanzen und der öffentlichen Verwaltung zu finden.
Da KRITIS eine große Bedeutung für das öffentliche Leben haben, müssen sie besonders gegen Cyberangriffe geschützt werden. Eine Kritische Infrastruktur muss daher bestimmte Anforderungen an die IT-Sicherheit erfüllen, die in Deutschland gesetzlich geregelt sind.
Die Anforderungen an ein KRITIS-System sind im IT-Sicherheitsgesetz festgelegt. Es legt unter anderem fest, dass KRITIS-Betreiber geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die IT-Sicherheit ihrer Systeme zu gewährleisten.
Zusätzlich können KRITIS-Betreiber auch von den zuständigen Behörden zu regelmäßigen Sicherheitsaudits und Penetrationstests verpflichtet werden, um Schwachstellen aufzudecken und zu beheben. Ziel ist es, die IT-Sicherheit von KRITIS-Systemen kontinuierlich zu verbessern und das Risiko von Cyberangriffen zu minimieren.
Der Einsatz von Systemen zur Angriffserkennung
Der neue § 8a Absatz 1a BSIG verpflichtet alle KRITIS-Betreiber, ab dem 01.05.2023 geeignete Systeme zur Angriffserkennung einzusetzen. Welche Anforderungen und Eigenschaften diese Systeme erfüllen müssen, listet eine vom BSI erstellte Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung in einem Maßnahmenkatalog auf.
Viele Anforderungen für KRITIS-Betreiber – eine Lösung
Komplexität und Umfang dieser Anforderungen machen den Einsatz einer Software erforderlich. Die von der SIEVERS-GROUP empfohlene Lösung zeichnet sich insbesondere dadurch aus, dass alle im Folgenden vom BSI geforderten Prozesse und Anforderungen mit einer Technologie abgebildet werden können, wie z.B.:
- Aufbau zentralisierter Protokollierungsinfrastrukturen
- Bereitstellung von Protokoll- und Protokollierungsdaten für die Auswertung
- Kontinuierliche Überwachung und Auswertung von Protokoll- und Protokollierungsdaten
- Einsatz zusätzlicher Detektionssysteme
- Infrastruktur zur Auswertung von Protokoll- und Protokollierungsdaten und Prüfung sicherheitsrelevanter Ereignisse
- Auswertung von Informationen aus externen Quellen
- Auswertung der Protokoll- und Protokollierungsdaten durch spezialisiertes Personal
- Zentrale Detektion und Echtzeitüberprüfungen von Ereignismeldungen
- Behandlung von Sicherheitsvorfällen
- Automatische Reaktion auf sicherheitsrelevante Ereignisse
Ihr Vorteil mit unserem Service: Ersparnis von Zeit, Planung, Administration und Personal – und insbesondere die umfassenden, vielfältigen Möglichkeiten bei der reibungslosen Integration anderer Systeme in unsere Softwarelösung.
Warum Sie jetzt handeln sollten
Wie so oft gilt auch hier: Eine frühzeitige Planung vermeidet unnötige Kosten und trägt nicht nur direkt zur Optimierung der Geschäftsprozesse bei, sondern erhöht darüber hinaus auch signifikant das Sicherheits-Level Ihrer IT-Infrastruktur.
Was ist zu tun?
Welches System ist das beste? Die Möglichkeiten sind vielfältig – und sollten genau überlegt werden! Lassen Sie uns deshalb bereits heute – auch im Hinblick auf Ihre weitere IT-Strategie – über das für Sie richtige IT-System sprechen! Unser Experten-Team steht Ihnen gern jederzeit für Fragen rund um die Themen „KRITIS“ und „Systeme zur Angriffserkennung“ zur Verfügung.
NIS-2-Richtlinie: Betrifft es auch Ihr Unternehmen?
Die NIS-2-Directive soll die Cybersicherheit in der EU erhöhen. Ist Ihr Unternehmen von den NIS-2-Anforderungen betroffen?
