skip to Main Content

§ 8a III BSIG Prüfungen & IT Risk Assessments

Kritische Infrastrukturen & IT-Sicherheitsgesetz

In Deutschland existieren im Rahmen der KRITIS Initiative des Bundes zum Schutz „Kritischer Infrastrukturen“ sowie der aktuellen Gesetzgebung für die betroffenen Unternehmen und Institutionen besondere Herausforderungen an das Informationssicherheits-Management.

Um u. A. Mindestsicherheitsstandards zu gewährleisten wurden (Artikel-)Gesetze wie das IT-Sicherheitsgesetz erlassen, bzw. branchenspezifische Regelungen wie im Energiewirtschaftsgesetz (EnWG) für den Energiebereich, dem Telekommunikationsgesetz (TKG) für den Telekommunikationsbereich oder MaRisk für den Banken- und Finanzdienstleistungsbereich geschaffen. Weitere Anforderungen entstehen (oder existieren schon) über die Definition branchenspezifischer Mindest-Sicherheitsanforderungen durch Branchenverbände. Neben den KRITIS Sektoren werden durch das IT-Sicherheitsgesetz auch alle Betreiber von Web-Angeboten (genauer: gewerblichen Telemediendiensten) direkt adressiert.

Allen gemein ist, dass die Umsetzung eines ISMS nach ISO/IEC 27001 sowie ggf. bereichsspezifischer Ergänzungen, wie z. B. der ISO/IEC TR 27019 für IPC Systeme im Energiebereich, der ISO/IEC 27011 für TK Unternehmen oder einer ganzen Reihe von Anforderungen aus MaRisk, BASEL II oder III und Rundschreiben des BaFin für Banken/Finanzdienstleister etc. Fehlende spezifische Regelungen müssen binnen zwei Jahren von den Branchenverbänden erstellt werden. Ferner gibt es .ggf. Mitteilungspflichten bei bestimmten Vorfällen an das in seinen Kompetenzen erweiterte BSI.

KRITIS Sektoren

  • Energie
  • Ernährung
  • Finanz- und Versicherungswesen
  • Gesundheit
  • Informationstechnik und Telekommunikation
  • Medien und Kultur
  • Staat und Verwaltung
  • Transport und Verkehr
  • Wasser

Unsere Dienstleistungen umfassen u. A.:

  • ISMS: Beratung zur Einführung und Zertifizierung eines ISMS i.d.R. nach ISO/IEC 27001 inkl. ggf. ergänzender Branchenstandards wie ISO/IEC TR 27019 sonstiger regulatorischer Anforderungen und Best-Practises (selbstverständlich haben wir Unternehmen schon erfolgreich zur Zertifizierung geführt)
  • Wirksamkeitskontrollen: Durchführung von Sicherheitsaudits & Penetrationstests in praktisch allen Bereichen inkl. ICS/SCADA
  • Informationssicherheitsbeauftragter: Stellung eines externen Informationssicherheits-Beauftragten (eISO) bzw. auf Basis der derzeitigen Auffassung des BaFin bei Banken einen Berater für den internen ISO.
  • eDSB: Externer Datenschutzbeauftragter (eDSB) im Paket mit dem externen Informationssicherheitsbeauftragten (mit besonderen Angeboten für Banken/Finanzdienstleister, Energie (z. B.) Stadtwerke und Wasserwerken und Telekommunikation.
  • Beratung von Branchenverbänden hinsichtlich der Erstellung bereichsspezifischer Anforderungen oder generischer Risikokataloge
  • Kontaktstelle: Kontaktstelle nach § 3 Abs. 1 Satz 2 Nr 15 IT-Sicherheitsgesetz für die anonyme Meldung von Sicherheitsvorfällen an das BSI
  • CSIRT:Wir bieten Ihnen den Service eines Computer Security Incident Response Teams, welches die Zeitnahe und professionelle Reaktion auf sicherheitsrelevante Vorfälle inkl. IT-Forensik gewährleistet. Unsere Services sind nicht nur reaktiv, sondern beginnen mit der Aufstellung Ihres Unternehmens für den Fall der Fälle.
  • Krisenmanagement und Krisenkommunikation: mit unserem Partnerunternehmen „menschen für medien“ unter der Leitung von Isabella Pfaff, decken wir für Sie auch den nicht-technischen Bereich ab, welcher die politisch-organisatorische Vorbereitung für Krisenfälle ebenso umfasst, wie die professionelle Kommunikation mit Medien, Betroffenen und anderen Stakeholdern. Ihre Außenwirkung ist i.d.R. mindestens so wichtig wie ihre technisch organisatorische Aufstellung.

Warum glauben wir, dass wir Ihr idealer Partner sind?

Wir sind intime Kenner der regulatorischen Anforderungen, der Technik sowie der anzuwendenden ISMS Standards und an deren (Weiter-) Entwicklung über unser Engagement im DIN Normenausschuss beteiligt.

Außerdem bringen wir jahrelange Erfahrung bei Sicherheitsuntersuchungen sowie der ISO/IEC 27001 und damit verwandten Standards mit, sowie auch konkrete Projekte insbesondere in den Sektoren Energie inkl. Netzbetreiber, Telekommunikation sowie im Banken-/Finanzdienstleistungsbereich. Wir dürfen sagen, dass wir eines von wenigen Unternehmen sind, die den Bogen von der gesetzlichen Anforderung über die Anwendung von Standards bis hin zur technischen Prüfung von IT und ICS spannen können – und das bei Unternehmen aller Größenordnungen schon getan haben.

Kontakt

Ihre Ansprechpartner:
Bernhard C. Witt
Telefon: +49 731 20589-0
E-Mail: itgrc@it-sec.de

Back To Top