IT-Sicherheitsaudit kritischer Infrastrukturen
IT-Sicherheitsaudit kritischer Infrastrukturen
Prüfung nach § 8a Abs. 3 BSIG
Die zunehmende Integration von IT in unseren Alltag bietet viel Potential, schafft allerdings auch neue Angriffsziele. Cyber-Attacken auf Unternehmen mehren sich. Insbesondere Angriffe auf Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) können schwerwiegende Folgen nach sich ziehen. Dies gilt umso mehr, wenn deren IT-Systeme eine Anbindung zum Internet haben.
§ 2 Abs. 10 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) definiert, welche Sektoren als kritische Sektoren einzustufen sind und somit der Prüfungspflicht nach § 8a Abs. 3 BSIG unterliegen.
Daneben definiert § 2 Abs. 14 BSIG Unternehmen von besonderem öffentlichen Interesse (UBI), die nicht Betreiber kritischer Infrastrukturen sind. Diese sind nach Veröffentlichung der Verordnung nach § 10 Abs. 5 BSIG zur Registrierung beim BSI aufgefordert.
Nach § 8a (1) BSIG sind Betreiber kritischer Infrastrukturen verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Diese Vorkehrungen sind gemäß § 8a (3) BSIG gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auf eine angemessene Weise nachzuweisen. Die Anforderungen an die Sicherheit werden je Sektor in branchenspezifischen Sicherheitsstandards (B3S) konkretisiert.
Daneben hat das BSI in Zusammenarbeit mit dem Fachausschuss für Informationstechnologie des IDW „Konkretisierungen der Anforderungen an die gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen“ entwickelt und veröffentlicht. Diese Anforderungen wurden durch die Novelle des BSIG unter anderen in §8a Abs. 1a BSIG erhöht, da jetzt die Betreiber kritischer Infrastrukturen verpflichtet sind, Systeme zu Angriffserkennung zu implementieren. Dies wurde vom BSI in der Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung konkretisiert. Weitere Informationen hierzu finden Sie auf der Seite des BSI. Im Gesetz wird als Umsetzungstermin der 1. Mai 2023 genannt. Die Umsetzung dieser Maßnahme ist spätestens bis zum 30. April 2025 dem BSI nachzuweisen.
Betreiber von Energieversorgungsnetzen und Energieanlagen unterliegen zwar nicht den Vorgaben der Kritis-Regulierung, sind aber gemäß § 11 Abs. 1e und 1f EnWG ebenfalls zur Einrichtung von Systemen zur Angriffserkennung verpflichtet.
Derzeit gelten die Sektoren Energie, Informations- und Kommunikationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung als kritische Infrastrukturen. Die BSI-Kritisverordnung definiert ergänzend Schwellenwerte, ab denen ein Unternehmen in einem bestimmten Sektor als von hoher Bedeutung für das Funktionieren des Gemeinwesens eingestuft wird.
Bei der Prüfung einer kritischen Infrastruktur wird nicht das ganze Unternehmen, sondern das Informationssystem der als kritisch angesehenen Anlagen betrachtet.
Die Erfüllung der Anforderungen gemäß § 8a (1) muss durch ein Nachweisdokument belegt werden, damit das BSI die getroffenen Vorkehrungen zur Vermeidung von Störungen und die gefundenen Sicherheitsmängel bewerten kann. Dies kann durch eine Prüfung durch eine Wirtschaftsprüfungsgesellschaft erfolgen. Das IDW hat auf Basis der vom BSI veröffentlichten Konkretisierungen der Anforderungen an die gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen einen Prüfungshinweis IDW PH 9.860.2 „Prüfung bei Betreibern kritischer Infrastrukturen“ veröffentlicht. Dieser stellt sicher, dass die vom BSI definierten Anforderungen ausreichend geprüft werden und ein Prüfungsbericht erstellt wird, der ggf. auf Anforderung dem BSI zusätzlich zum Nachweisdokument zur Verfügung gestellt werden kann.
Unser Angebot:
Wir beurteilen, ob Sie dem BSIG und damit einer Prüfungs- oder Registrierungspflicht unterliegen. Daneben unterstützen wir Sie dabei, die Anforderungen aus dem BSIG zu erfüllen.
Wir erfüllen die Voraussetzungen, um für betroffene Unternehmen die erforderliche Prüfung bzw. Zertifizierung gemäß § 8a (3) BSIG durchzuführen. Auf Basis der von uns unter Berücksichtigung des IDW PH 9.860.2 durchgeführten Prüfung sowie des erstellten Prüfberichts wird das Nachweisdokument für das BSI erstellt. Unsere interdisziplinären Teams aus Wirtschaftsprüfern und ausgezeichneten IT-Spezialisten verfügen über besondere Branchenkenntnisse in den Bereichen Gesundheit, Energie, Finanz- und Versicherungswesen, Gesundheit, Transport und Verkehr sowie Gas- und Wasserversorgung.
