IT-Sicherheitsgesetz: Gehört Ihr Unternehmen zu den KRITIS?

Das jüngst verabschiedete IT-Sicherheitsgesetz bringt für viele Unternehmen neue Herausforderungen mit sich. Um die kritischen Infrastrukturen (s. g. KRITIS) des Gemeinwesens zu schützen, sind in Deutschland rund 2000 Unternehmen aufgefordert, organisatorische wie technische Anforderungen zum Schutz der IT einzuführen und zukünftig ebenso Angriffe auf die IT-Systeme beim Bundesamt für Sicherheit in der Informationstechnik – kurz BSI – zu melden.

Welche branchenspezifischen Anforderungen das BSI dabei fordert, soll bis Jahresende spezifiziert werden. Energieversorger, Wasserversorger, Kernkraftwerke, Telekommunikationsanbieter und Krankenhäuser zählen offensichtlich zu den KRITIS, jedoch können auch Versicherer, Banken und andere Branchen davon betroffen sein.

Dem Gesetz nachzukommen, wird bei vielen Unternehmen wie auch deren Zulieferern und Dienstleistern neue Aufgabenstellungen aufwerfen, denn auch diese müssen den entsprechenden Anforderungen nachkommen. Es gilt dabei, nicht nur einmalig Systeme, Assets, Ressourcen, Maßnahmen und Prozesse zu dokumentieren – vielmehr wird es darum gehen, wie die Unternehmen diese Anforderungen in die betrieblichen Abläufe integrieren und in dem Bewusstsein der Mitarbeiter verankern.

Für die Realisierung haben die Unternehmen zwei Jahre Zeit. Was sich zunächst als „entspannter Zeitrahmen“ anhört, sollte dennoch nicht aus dem Blickfeld fallen. Projekte können je nach Größenordnung des Unternehmens und betroffenen Zulieferern wie IT-Dienstleistern, Rechenzentren etc., schnell einen Zeitraum von 9 bis 24 Monate erfordern. Zudem sollten bei den nun anstehenden Systemauswahlen seitens der KRITIS die Anforderungen bei Anwendungen und Dienstleister berücksichtigt werden. Der Frage nach der Zertifizierung des IT-Sicherheitsmanagements gemäß ISO 27001 wird dort zukünftig sicherlich eine größere Bedeutung zukommen.

Weitere Informationen zu dem Thema: