IT-Sicherheitsgesetz

Als Fragment der „Digitalen Agenda der Bundesregierung“ ist 2015 das IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten, welches eine Untergrenze an die IT-Sicherheit von Organisationen gesetzlich festlegt, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit bedeuten würden. Solche Organisationen werden dem Gesetz nach als KRITIS (Kritische Infrastrukturen) bezeichnet. Zu den KRITIS zählen nach derzeitigem Stand: Energie (siehe IT-Sicherheitskatalog gemäß § 11 Absatz 1a ENWG) Organisationen aus dem Bereich Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen.

Im Rahmen dieser Entwicklung entsteht auch für Zulieferer bzw. Partner dieser Unternehmen die Notwendigkeit, Informationssicherheit in Form eines implementierten und zertifizierten ISMS nachzuweisen.

Um den Anforderungen des IT-Sicherheitsgesetz und der Forderung nach etablierten Sicherheitsprozessen nachzukommen, empfiehlt sich für alle Unternehmen die zu KRITIS zählen, die Implementierung eines übergreifenden ISMS nach ISO 27001 nativ oder auf Basis des IT-Grundschutzes.  Unternehmen für die das EnwG verbindlich gilt, sind sogar verpflichtet ein ISMS mit der Zertifizierung nach ISO 27001 aufzubauen. Hierzu zählen hauptsächlich Energieversorger aus dem Bereich Strom und Gas.
Bei dem Aufbau eines ISMS unterstützt INFODAS GmbH mit langjährigem Beratungs-Knowhow und der fachlichen Kompetenz der infodas Auditoren ISO/IEC 27001 EnWG und Lead Auditoren ISO/IEC 27001.

Unsere Berater kennen sich mit den Spezialitäten des IT-Sicherheitskatolgs, welche von der klassischen ISO 27001 abweichen, aus und wissen, wie mit den besonderen Anforderungen am besten umgegangen wird. Beispielsweise müssen bei einem ISMS nach IT-Sicherheitskatalog strengere Vorgaben hinsichtlich des Scopings beachtet werden, als dies bei ISO 27001 nativ der Fall ist. ISO 27001 lässt z.B. Geltungsbereiche zu, die einzelne Prozesse umfassen. Der IT-Sicherheitskatalog gibt dagegen vor, dass alle netzsteuerungsdienliche TK- und EDV-Systeme in den Geltungsbereich des ISMS mit aufgenommen werden. In einem Implementierungsprojekt müssen diese also gesondert erhoben und klassifiziert werden, damit der Scope konform der Anforderungen gebildet werden kann.

Näheres zum Aufbau eines ISMS finden Sie hier.