IT-Sicherheitsgesetz (ITSiG) und BSI-Gesetz verpflichten Betreiber kritischer Infrastrukturen u. a. zur Einhaltung technischer und organisatorischer Mindestsicherheitsstandards. Die den Erlassen zugrundeliegende Idee ist, dass sich die Sicherungsmaßnahmen an dem in der Branche des Betreibers geltenden Stand der Technik zur Vermeidung von IT-Störungen/Ausfällen orientieren.
Für Betreiber kritischer Infrastrukturen wirft diese unscharfe Formulierung so manche Frage auf:
- Welche Maßnahmen umfasst der technische oder organisatorische Mindeststandard?
- Wo übertreffen wir als Betreiber einer kritischen Infrastruktur diesen Mindeststandard und wo weichen wir davon ab?
- Gibt es in meiner Branche einen spezifischen Stand der Technik und falls nicht, woran kann ich mich orientieren, bzw. wie kann ich einen derartigen branchenspezifischen Standard definieren?
- Welche bereits absolvierten Audits und Zertifizierungen vereinfachen den Nachweisprozess gegenüber dem BSI?
Diesen Interpretationsspielraum hat der Gesetzgeber bewusst eingeräumt. Über die im ersten Durchgang einzureichenden Prüfungsberichte soll zunächst einmal eine Bestandsaufnahme bzgl. der bei den Betreibern getroffenen Vorkehrungen und den branchenüblichen Sicherheitsniveaus erfolgen. Zudem soll den Branchen die Möglichkeit eingeräumt werden sich auf branchenspezifische Sicherheitsstandards (B3S) zu verständigen.
Sollten sich für eine Branche keine spezifischen Sicherheitstandards herausbilden, dann verfügt das BSI über die Option diese Sicherheitstandards vorzugeben. Eine entsprechende Möglichkeit räumt die KritisVO ein.
Das ist eine Chance, die Betreiber kritischer Infrastrukturen nutzen sollten. Es ist damit zu rechnen, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine detailliertere Formulierung der KritisVO aufgrund der in der ersten Prüfungsrunde gewonnenen Erkenntnisse anregen wird.
Gern bieten wir Ihnen die Möglichkeit bei der Überprüfung ihrer technischen und organisatorischen Sicherheitsstandards auf die Expertise unserer Fachleute zurück zu greifen. Auch bei der Formulierung ihres branchenspezifischen Standards unterstützen wir sie gern.
Ansprechpartner
Dagmar Schoppe
Themen
Informieren Sie sich über die Themenfelder, die wir mit unserer Dienstleistung unterstützen.