Für wen gilt das Gesetz?Das IT-Sicherheitsgesetz (IT-SiG; Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) ist ein am 25.07.2015 in Kraft getretenes Gesetz der deutschen Bundesregierung und resultiert nach Angaben des Bundes-innenministeriums aus der im Februar 2011 beschlossenen Cyber-Sicherheitsstrategie.

Das IT-Sicherheitsgesetz zielt darauf ab, die Sicherheit von Unternehmen, deren Informationen und der dazugehörigen Technik zu verbessern. Denn mögliche Ausfälle oder Beein-trächtigungen bedeuten nachhaltig erhebliche Versorgungs-engpässe oder führen zu Gefährdungen der öffentlichen Sicherheit in der Bundesrepublik.

Mit dem Gesetz sollen die Betreiber besonders gefährdeter Infrastrukturen durch die Auswahl geeigneter und dem allge-mein anerkannten Standards zur Aufrechterhaltung folgen-der Informationssicherheitskriterien verpflichtet werden:

Fact Sheet

TÜV NORD CERT –IT-Sicherheitsgesetz

TÜV NORD CERT GmbH Tel: 0800-245-7457 (kostenlose Service-Hotline)Fax: 0511 9986 69-1900info.tncert@tuev-nord.de

n Verfügbarkeit: Die Information sowie die zur Verarbeitung notwendigen Systeme und Betriebsmittel sollen jederzeit verfügbar, funktionsbereit bzw. in erwarteter oder geforderter Qualität bereit stehen

n Integrität: Sicherstellung der Korrektheit (Unversehrtheit, Richtig-keit und Vollständigkeit) von Informationen bzw. der korrekten Funktionsweise von Systemen

n Vertraulichkeit: Schutz gegen die unberechtigte Kenntnisnahme

von gespeicherten, verarbeiteten oder übertragenen Informationen.n Authentizität:

Sicherstellung der Echtheit von Informationen

1

Fact Sheet

Übersicht der KRITIS-Sektoren

Gesetzesbegründung zufolge ist von ca. 2.000 Betreibern Kritischer Infrastrukturen in den regulierten sieben Sektoren auszugehen. Einige andere KRITIS-Betreiber sind laut §8 zu eigenen Lösungen verpflichtet: n Kleinstunternehmen (weniger als 10 Mitarbeiter;

Jahresumsatz geringer als 2 Mio. Euro) n Betreiber öffentlicher TK-Netze

(Sicherheitskonzept greift)n Betreiber von Energieversorgungsnetzen

(IT-Sicherheitskatalog greift)n Genehmigungsinhaber (Leitfaden für

Sicherheitsüberprüfungen greift)

Welche Betreiber Kritischer Infrastrukturen unterliegen den Regelungen des IT-Sicherheitsgesetzes?n Mit Inkrafttreten des Gesetzes gelten die neuen Pflich-

ten zur Meldung erheblicher IT-Sicherheitsvorfälle für die Betreiber von Kernkraftwerken und für Telekommu-nikationsunternehmen. Für letztere besteht bereits eine Meldepflicht gegenüber der Bundesnetzagentur, die mit dem IT-Sicherheitsgesetz nun erweitert wurde.

n Die im Mai 2016 in Kraft getretene Rechtsverordnung spezifiziert zunächst die vier Sektoren Energie, IKT, Ernährung und Wasser. Der Sektor Energie umfasst die Strom- (420 MW), Gas- (5190 MW), Kraftstoff- und Heizölversorgung sowie Fernwärmeversorgung. Da- gegen werden kritische Dienstleistungen wie die Abwasserbeseitigung und Trinkwasserversorgung im Sektor Wasser geregelt. Eine besondere Bedeutung wird auch der Lebensmittelversorgung, insbesondere der Produktion und dem Handel, zugesprochen. Zu guter Letzt wird auch die Informationstechnik (Daten-verarbeitung- und speicherung) und Telekommuni-kation (Sprach- und Datenübertragung) in die Pflicht genommen und muss die Anforderung des IT-SiG bis Ende 2018 erfüllt haben.

Entwicklungs- und Verabschiedungsprozess des IT-Sicherheitsgesetzes

Referenten-entwurf 1

08/2014

1. Beratung im Bundestag

03/2015 06/2015 07/2015 05/ 2016 Anfang 2017 Ende 2018

Beschluss des Bundesrats

Verabschiedung im Bundesrat

Inkraftsetzung

Rechtsverordnung für die Sektoren Energie, IKT, Ernährung und Wasser

Rechtsverordnung für die Sektoren Transport und Verkehr, Finanzen und Gesundheit

Umsetzung des IT SiGin allen Sektoren

KritischeInfrastrukturen

(KRITIS)

Informationstechnik/ Telekommunikation

(z. B. Telekommunikationsprovider, Mobilfunkanbieter)

Transport und Verkehr(z. B. Flughafenbetreiber,

Bahnbetreiber)

Gesundheit(z. B. Krankenhäuser,

Rettungsdienste, Labore)

Wasser(z. B. Waserwerktsbetreiber,

Klärwerkbetreiber)

Ernährung(z. B. Lebensmittelkonzerne,

Lebensmittelhändler)

Finanz- und Versicherungswesen

(z. B. Banken, Versicherungen)

Energie(z. B. Stadtwerke,

Verteilernetzbetreiber)

2

Fact Sheet

Inwiefern müssen Informationssicherheitsstandards erfüllt werden? Welche Anforderungen und Pflichten kommen auf KRITIS-Betreiber zu? Das IT-Sicherheitsgesetz bringt zeitnah vielfältige Aufgaben mit sich, auf die die Unternehmen vorbereitet sein sollten. Neben der Verpflichtung zur Meldung von Sicherheits- vorfällen werden zudem Mindeststandards für die Infor-mationssicherheit bei den Betreibern solcher kritischen Infrastrukturen branchenweit festgelegt. Dazu sollen die Branchen selbst Standards entwickeln, die dann vom BSI genehmigt werden. Für die Implementierung dieser wird eine Frist von zwei Jahren gewährt. Darüber hinaus sollen die Unternehmen alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen, dass sie die Anforderungen noch erfüllen. Es drohen Bußgelder, wenn der Verpflichtung nicht nachgekommen wird. (bei Pflicht-verletzungen in Höhe von 50.000 bis 1000.000 Euro)

Aufgaben auf einem Blick:n die Umsetzung und Einhaltung angemessener –

dem Stand der Technik – organisatorischer und technischer Vorkehrungen

Welche finanziellen Aufwände bringt das IT-SiG für die Betreiber mit sich?Die Realisierung und Berücksichtigung der Mindestan-forderungen des IT-SiG wird dort zu erhöhten finanziellen Mehraufwänden führen, wo im Sinne des IT-SiG noch kein hinreichender IT-Sicherheitsstandard implementiert ist. Somit hängt der zu erwartende Aufwand zum einen vom notwendigen Sicherheitsniveau aber auch von der Aus-gangssituation des Unternehmens ab. Vergleichbares gilt somit auch für eine Zertifizierung oder für ein Audit, welche hauptsächlich von dem gewählten Zertifizierungsverfahren und den entsprechenden Rahmen-bedingungen in den Unternehmen abhängen.

n eine entsprechende Nachweiserbringung durch eine Zertifizierung, Prüfung oder einem Sicherheitsaudit

n die Meldung erheblicher IT-Sicherheitsstörungen bzw. -ausfälle sowie

n die Benennung eines IT-Sicherheitsbeauftragten bzw. die Einrichtung einer Kontaktstelle gegenüber dem BSI

3

Fact Sheet

Sicherheitsaudit, Prüfung oder ZertifizierungUm das Level der Informationssicherheit auf einen aktuellen Stand zu bringen, sind die einzelnen Branchen nun aufgefordert, Sicherheitsstandards zu implementieren. Die Bundesnetzagentur hat darauf bereits mit dem veröf-fentlichten IT-Sicherheitskatalog mit Umsetzungsvorgaben für die Energiebranche (ISO 27019) reagiert. Ähnliche Ableitungen von der ISO 27001 werden wohl auch für die anderen Kritischen Infrastrukturen erarbeitet. Auch wenn das IT-Sicherheitsgesetz ein Informationssicherheits-managmentsystem (ISMS) nicht explizit fordert, ist doch dieser Ansatz eines Managementsystems zur Aufrecht-erhaltung von Informationssicherheit aktuell der Stand der Technik. Das Thema Informationssicherheit wird bei den betroffenen Unternehmen durch eine Zertifizierung ganz-heitlich betrachtet und auch gelebt.

Darunter fallen auch die Dienstleister, die Betreiber Kritischer Infrastrukturen in ihrem Kundenkreis haben.Grundsätzlich besteht für alle Betreiber kritischer Infra-strukturen die Möglichkeit ihre Pflicht zur Gesetzeserfüllung durch ein Sicherheitsaudit, eine Prüfung oder durch eine Zertifizierung nachzukommen.

Welchen Standard Sie auch anstreben: TÜV NORD CERT kann sowohl die unabhängigen Sicherheitsaudits/ Prüfungen als auch eine Zertifizierung nach ISO 27001 durchführen. Mit folgender Matrix vermitteln wir Ihnen kurz und knapp die unterschiedlichen Aufwände und Vorteile der verschiedenen Möglichkeiten.

Prüfung Sicherheitsaudit Zertifizierung

Grundlagen nBewertet die Relation aus Anforderungen und messbarer Ergebnisse

nBewertet die Relation aus Anforderungen und messbarer Ergebnisse

nZusätzlich findet ein persön-liches Gespräch statt

nBewertet die Relation aus Anforderungen und messbarer Ergebnisse

nPersönliches GesprächnZiel: Gewährleistung, dass die

Ergebnisse den Anforderungen entsprechen

Nutzen nIdentifikation kritischer Ressourcen und Prozesse

nIdentifikation kritischer Ressourcen und Prozesse

nAbleitung von SchwachstellennDefinition von Maßnahmen zur

Schließung möglicher Sicherheitslücken

nISMS lässt sich mit bestehen-der ISO 9001-Zertifizierung kombinieren

nAufdeckung von Einsparpotenzialen

nist durch anerkannte und unabhängige Dritte eine vertrauensbildende Maßnah-me gegenüber Kunden und Geschäftspartnern

nmit anschließender Vergabe des Prüfzeichens ein brillantes Marketinginstrument

4

Fact Sheet

Prüfung SicherheitsauditZertifizierung nach

ISO 27001

Aufwand Individuell steuerbar nerhöhter Aufwand in einzelnen KRITIS-Branchen ist zu erwarten

nauf erfolgreiche interne Sicherheitsaudits kann jeder-zeit aufgebaut werden, sodass eine nachträgliche Zertifizierung nach ISO 27001 möglich ist.

Schritt 1: Überblick über Anfor-derungen (gesetzlich, branchen-spezifisch, Normenvorgaben) sowie über die zu schützenden Informationen verschaffenSchritt 2: Einschätzung des Schutzbedarfes hinsichtlich der Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit)Schritt 3: Umsetzung von MaßnahmenSchritt 4: Einführung eines kontinuierlichen Verbesserungs-prozesses (PDCA-Zyklus)Schritt 5: wiederkehrende Überwachungsaudits, um ein gleichbleibendes Qualitätsniveau sicherzustellen

Empfehlung – Sofern die Anforderungen des IT-SiG kurzfristig erfüllt werden müssen, stellt das Sicherheitsau-dit eine mögliche Lösung dar.

Eine Zertifizierung z.B. nach ISO 27001 weist die Wirksamkeit des Informationssicherheitsma-nagementsystems objektiv und glaubwürdig nach – innerhalb der eigenen Organisation und gegenüber interessierten Parteien (Bevölkerung, Staat, Stakeholdern).

5

Fact Sheet

Wir bieten Coachings und Workshops zu diesen Themen an.

Details finden Sie hier: www.tuev-nord.de/isms

24-0

287-

03/1

5

Glossar: Kritische Infrastrukturen (KRITIS) sind Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere drama-tische Folgen eintreten würden.

Stand der Technik: „Stand der Technik“ ist ein gängigerjuristischer Begriff. Da die technische Entwicklung schneller als die Gesetzgebung ist, werden heute in vielen Rechtsbereichen Gesetze auf den „Stand der Technik“ abgestellt anstatt bereits konkrete technische Anforderun-gen im Gesetz zu verankern. Oftmals lässt sich auf Basis existierender nationaler und internationaler Standards (z.B. DIN oder ISO) oder Best-Practice-Beispielen aus der Praxis der Stand der Technik für die jeweiligen Branchen ermitteln.

IT-Sicherheit: Der Fokus liegt ausschließlich auf der IT-Technik eines Unternehmens.

Informationssicherheit: Der Fokus liegt primär auf den Unternehmensprozessen und deren Informationen. Daher werden neben der IT-Technik (Software, Hardware, Netze) auch Supporteinheiten wie Personal, Organisation und Ge-bäude als auch Equipment betrachtet bzw. berücksichtigt.

Informationssicherheitsmanagementsystem (ISMS): Im Falle des IT-SiG wird ein ISMS zwar nicht explizit gefor-dert, doch ist dieser Ansatz eines Managementsystems zur Aufrechterhaltung von Informationssicherheit aktuell Stand der Technik. Mit Zertifikat und Prüfzeichen erweist es sich zusätzlich als brillantes Instrument in der Kommu-nikation mit interessierten Parteien, wie z.B. Kunden.

Partner für Ihr InformationsmanagementTÜV NORD CERT und die TÜV NORD GROUP sind neutrale Experten für den Bereich Informationsma-nagement mit all seinen Facetten und begleiten Sie lösungsorientiert bei Ihren betrieblichen Herausforde-rungen. Durch die Präsenz mit nationalen und internatio-nalen Standorten steht ein Netz von Experten und Audi-toren nach deutschen Qualifikationskriterien weltweit zur Verfügung. Dabei reicht der ganzheitliche Ansatz für die Dienstleistung vom Training über Scoping-Workshops und Pre-Assessments bis hin zum Zertifikat.

6