Systeme zur Angriffserkennung
Nachweisführung gegenüber dem BSI für Systeme zur Angriffserkennung (SzA)
Betreiber Kritischer Infrastrukturen müssen bis zum 01.05.2023 sogenannte „Systeme zur Angriffserkennung“ einführen. Diese gesetzliche Verpflichtung betrifft nicht nur KRITIS-Unternehmen gemäß §8a BSIG, die die KRITIS-Schwellwerte überschreiten, sondern über §11 Abs. 1d EnWG auch alle Strom- und Gasnetzbetreiber sowie alle Kraftwerksbetreiber, die unter die KRITIS-VO fallen.
Diese SzA müssen dabei „geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“ (§8a Abs. 1a BSIG).
Die Einführung eines derartigen Systems müssen die Betreiber gegenüber dem BSI erstmalig bis zum 01.05.2023 nachweisen.
Ihre Vorteile
- Nachweisdokumente zur Erfüllung gesetzlicher Vorgaben
- zusätzlich detaillierter Bericht als Referenz für Behördenanfragen
- erfahrene Penetrationstester für die technische Prüfung
- erfahrene Auditoren für KRITIS, IT-Grundschutz, IT-Sicherheitskatalog und ISO/IEC 27001
- Kombi-Audits gemäß KRITIS, IT-Sicherheitskatalog, IT-Grundschutz oder ISO/IEC 27001 möglich
Die datenschutz cert GmbH hat ausgehend von den behördlichen Vorgaben für ihre Prüfungen von Systemen zur Angriffserkennung einen Kriterienkatalog erstellt. Die Vorgaben des BSI aus der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ wurden dabei übernommen. Im Kritierienkatalog finden Sie auch weitere Informationen zum Ablauf der Prüfung.
So gehen wir vor
Die Prüfung wird in Form eines Audits sowie einer technischen Prüfung durchgeführt und teilt sich dabei auf in
- Vorbereitung
- Dokumentenprüfung
- Site Visit
- Nachbereitung inkl. BSI-Nachweis und detailliertem Bericht.
Unser Modell zur Nachweisführung von SzA setzt auf Kontinuität und Transparenz:
- Es finden jährliche Prüfungen statt.
- Sie erhalten nach jeder Prüfung einen detaillierten Bericht, auf den Sie bei behördlichen Nachfragen referenzieren und unabhängig bestätigt die konkrete Umsetzung aller Anforderungen der Orientierungshilfe nachweisen können.
- BSI-Nachweise werden gemäß gesetzlichen Vorgaben erstellt: initial und sodann alle zwei Jahre.
Kombi-Audits
Netz- und Kraftwerksbetreiber müssen bereits zertifiziert werden:
- Strom- und Gasnetzbetreiber gem. IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG
- Energieanlagenbetreiber gem. IT-Sicherheitskatalog gem. §11 Abs. 1ba EnWG, sofern sie unter die KRITIS-VO fallen
Diese Zertifizierungen setzen ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001 voraus, weshalb Synergien zu den Anforderungen des vorliegenden Kriterienkatalogs bestehen. Aus diesem Grund bietet die datenschutz cert GmbH an, Audits gemäß IT-Sicherheitskatalog mit Prüfungen gemäß SzA zu kombinieren.
Sie haben noch offene Fragen?
In unserem Glossar finden Sie Erklärungen für viele Begriffe aus der Fachsprache des Prüf- und Zertifizierungswesens. Häufig gestellte Fragen werden in unseren FAQ ausführlicher erläutert. Natürlich stehen wir Ihnen zur Beantwortung weiterer Fragen gerne auch per E-Mail oder Telefon zur Verfügung.