NIS-2, BSIG und KRITIS

Mit der Umsetzung der NIS-2-Richtlinie und dem novellierten BSI-Gesetz (BSIG) entsteht ein erweitertes Pflichtenregime zur Informationssicherheit – nicht nur für klassische KRITIS-Betreiber, sondern auch für zahlreiche Unternehmen als besonders wichtige Einrichtungen (bwE) oder wichtige Einrichtungen (wE).

Für Betreiber kritischer Anlagen (KRITIS-Betreiber) besteht die unveränderte Nachweispflicht gegenüber dem BSI, wenngleich mit geänderten Fristen.

Die datenschutz cert GmbH prüft die Umsetzung und erstellt entsprechende Prüfnachweise. Die datenschutz cert GmbH erfüllt als DAkkS-akkreditierte Zertifizierungsstelle, BSI-anerkannte Prüfstelle sowie IT-Sicherheitsdienstleister des BSI die Anforderungen einer prüfenden Stelle. Darüber hinaus verfügt die datenschutz cert GmbH über Prüfer*innen mit einer langjährigen Erfahrung in der Auditierung kritischer Infrastrukturen. Die Auditor*innen der datenschutz cert GmbH verfügen außerdem über die entsprechende Prüfverfahrenskompetenz für § 8a BSIG-alt.

 

Besonders wichtige und wichtige Einrichtungen müssen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ zur Sicherheit der Informationstechnik umsetzen (§ 30 Abs. 1 BSIG). Die Mindestanforderungen werden in zehn Maßnahmenbereichen konkretisiert, u. a.:

• Risikoanalyse und Konzepte zur IT-Sicherheit
• Bewältigung von Sicherheitsvorfällen
• Aufrechterhaltung des Betriebs (Backup, Recovery, Krisenmanagement)
• Sicherheit der Lieferkette inkl. sicherheitsbezogener Aspekte zu unmittelbaren Anbietern/Dienstleistern
• Secure-by-Design/-by-Default bei Erwerb, Entwicklung und Wartung inkl. Schwachstellenmanagement
• Wirksamkeitsbewertung der Risikomanagementmaßnahmen
• Schulungen und Sensibilisierung
• Kryptographische Konzepte/Prozesse
• Personalsicherheit, Zugriffskontrolle, Verwaltung von IKT-Systemen/-Produkten/-Prozessen
• Multi-Faktor- oder kontinuierliche Authentifizierung sowie gesicherte Kommunikation (inkl. Notfallkommunikation, wo erforderlich)

Zusätzlich werden Geschäftsleitungen ausdrücklich verpflichtet, Umsetzung und Überwachung sicherzustellen und an Schulungen teilzunehmen (§ 38 BSIG). 

Für bwE und wE kann das BSI zudem Prüfungen durch unabhängige Stellen anordnen (§§ 61–62 BSIG). Eine Nachweispflicht besteht für Betreiber kritischer Anlagen.

Ferner sind Betreiber kritischer Anlagen verpflichtet, für die informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind, Systeme zur Angriffserkennung einzusetzen (§31 Abs. 2 BSIG).

Wichtig: Über die Anforderungen zur sicheren Lieferkette bei KRITIS-Betreibern kommen auch Dienstleister ins Spiel.

• Sie sind als Betreiber einer kritischen Anlage zur Nachweiserbringung gemäß §39 BSIG verpflichtet?
• Oder Sie sind als Lieferant/Dienstleister von ihren Kunden, insb. KRITIS-Betreibern, mit Fragen zur NIS-2-Compliance konfrontiert worden?

Wir bieten Ihnen an: Prüfung und Nachweisführung

• Prüfung der Anforderungen als unabhängige Stelle
• prüffähiger Auditbericht mit klaren Feststellungen (Konformität/Abweichungen/Risiken)
• Nachweisfähigkeit gegenüber BSI, Stakeholdern oder im Rahmen von Lieferantenbewertungen
• Integration der Prüfung der Systeme zur Angriffserkennung (SzA)
   

Aus unserer Sicht sowie der Perspektive des BSIG ist ein ISMS nach Stand der Technik der zentrale Anknüpfungspunkt für prüffähige Nachweise. Unsere Prüfungen basieren daher typischerweise auf:

• der dsc-Kartographie auf Basis von ISO/IEC 27001 (ggf. ergänzt um sektorale Normen)
• den gesetzlichen Vorgaben aus §§ 30–31 BSIG (und angrenzenden NIS-2-relevanten BSIG-Anforderungen)
• den ergänzenden Anforderungen aus den relevanten Durchführungsrechtsakten (Implementing Acts)

Weitere Informationen zu unserem Prüfprozess finden Sie in unserem Kriterienkatalog NIS-2/BSIG.