Zum Inhalt springen
Startseite » Unser Blog » Informationsmanagementsysteme » Wann ist die ISO 27001 Pflicht

Wann ist die ISO 27001 Pflicht

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Das IT-Sicherheitsgesetz und ISO 27001 im Rahmen der KRITIS-Verordnung

In Deutschland müssen Betreiber Kritischer Infrastrukturen (KRITIS) bestimmten gesetzlichen Anforderungen zur Informationssicherheit genügen, die im IT-Sicherheitsgesetz und in der BSI-Kritisverordnung festgelegt sind. Die ISO 27001-Zertifizierung ist dabei nicht zwingend vorgeschrieben.

Allerdings verlangt das IT-Sicherheitsgesetz von KRITIS-Betreibern, angemessene Sicherheitsmaßnahmen zu ergreifen und einen Mindeststandard für Informationssicherheit einzuhalten. Hierfür kann die ISO 27001-Zertifizierung als Nachweis für die Umsetzung eines umfassenden Informationssicherheits-Managementsystems (ISMS) dienen und als Best Practice angesehen werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt zudem branchenspezifische Sicherheitsstandards heraus, die auf der Grundlage von ISO 27001 entwickelt wurden. Diese Standards sind als IT-Grundschutz-Kompendium bekannt und bieten einen erweiterten Rahmen für die Umsetzung von Informationssicherheitsmaßnahmen in KRITIS-Bereichen.

Insgesamt ist die ISO 27001-Zertifizierung für KRITIS-Betreiber nicht verpflichtend, aber sie kann als wirksames Instrument zur Erfüllung der gesetzlichen Anforderungen und zum Nachweis der Einhaltung von Informationssicherheitsstandards dienen. Unternehmen, die zu KRITIS zählen, sollten die für ihre Branche geltenden Vorschriften sorgfältig prüfen und erwägen, ob die Einführung eines ISMS nach ISO 27001 oder eine vergleichbare Norm für sie von Vorteil ist.

Was fordert das IT-Sicherheitsgesetz

IT-Sicherheitsgesetz und ISO 27001

Das am 30. Juni 2017 in Kraft getretene IT-Sicherheitsgesetz in Deutschland verfolgt das Ziel, die IT-Sicherheit von Kritischen Infrastrukturen (KRITIS) zu stärken und somit das Sicherheitsniveau von Organisationen, die für das Funktionieren der Gesellschaft von entscheidender Bedeutung sind, zu erhöhen. Das Gesetz selbst erwähnt ISO 27001 nicht explizit, legt jedoch grundlegende Anforderungen fest, die KRITIS-Betreibern in Bezug auf IT-Sicherheit auferlegt werden. Einige dieser Anforderungen sind:

  • Meldepflicht: Betreiber Kritischer Infrastrukturen sind verpflichtet, erhebliche Störungen ihrer IT-Systeme, -Komponenten oder -Prozesse, die Auswirkungen auf die Verfügbarkeit der kritischen Dienste haben, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
  • Mindeststandards für Informationssicherheit: KRITIS-Betreiber müssen angemessene organisatorische und technische Vorkehrungen treffen, um einen Mindeststandard für Informationssicherheit zu gewährleisten. Dieser Standard muss regelmäßig überprüft und angepasst werden.
  • Nachweis der Umsetzung von Sicherheitsmaßnahmen: Betreiber müssen alle zwei Jahre dem BSI nachweisen, dass sie die erforderlichen Sicherheitsmaßnahmen umgesetzt haben. Dieser Nachweis kann in Form einer Selbstauskunft, einer Prüfung durch interne Experten oder durch externe Prüfer (z.B. Auditoren) erfolgen.

Obwohl das IT-Sicherheitsgesetz nicht explizit die Implementierung eines ISO 27001-konformen Informationssicherheits-Managementsystems (ISMS) verlangt, kann die Einhaltung dieses Standards dazu beitragen, die gesetzlichen Anforderungen zu erfüllen. Die ISO 27001-Zertifizierung kann als Best Practice und als Nachweis für die Umsetzung von angemessenen Sicherheitsmaßnahmen angesehen werden.

Zudem hat das BSI den IT-Grundschutz entwickelt, der auf ISO 27001 basiert und als Leitfaden für KRITIS-Betreiber dienen kann. Der IT-Grundschutz definiert branchenspezifische Sicherheitsanforderungen und bietet einen erweiterten Rahmen für die Umsetzung von Informationssicherheitsmaßnahmen in KRITIS-Bereichen.

Welche Unternehmen fallen unter KRITIS

In Deutschland fallen Unternehmen und Organisationen, die Kritische Infrastrukturen (KRITIS) betreiben, unter besondere gesetzliche Anforderungen in Bezug auf IT-Sicherheit, wie im IT-Sicherheitsgesetz und der BSI-Kritisverordnung festgelegt. Kritische Infrastrukturen sind Organisationen und Einrichtungen, die für das Funktionieren des Staates und das gesellschaftliche Zusammenleben von zentraler Bedeutung sind. Ihr Ausfall oder Beeinträchtigung hätte erhebliche Folgen für die Versorgung der Bevölkerung, die öffentliche Sicherheit oder andere wichtige Aspekte des gesellschaftlichen Lebens.

KRITIS-Betreiber finden sich in verschiedenen Sektoren. Laut BSI-Kritisverordnung sind folgende Sektoren als kritisch eingestuft:

  • Energie: Strom-, Gas- und Mineralölversorgung
  • Informationstechnik und Telekommunikation: Internetknotenpunkte, Telefonnetze und Rechenzentren
  • Wasser: Trinkwasser- und Abwasserversorgung
  • Ernährung: Lebensmittelproduktion und -verteilung
  • Gesundheit: Krankenhäuser, Arzneimittelproduktion und -verteilung
  • Finanz- und Versicherungswesen: Banken, Börsen und Versicherungen
  • Transport und Verkehr: Straßen-, Schienen-, Luft- und Schifffahrt sowie Logistik
  • Medien und Kultur: Rundfunk- und Fernsehanstalten, Druckereien und Verlage, Kultureinrichtungen

Nicht alle Unternehmen innerhalb dieser Sektoren gelten automatisch als KRITIS-Betreiber. Die BSI-Kritisverordnung legt Schwellenwerte fest, ab denen eine Einrichtung als kritisch gilt. Diese Schwellenwerte variieren je nach Sektor und beziehen sich in der Regel auf die Anzahl der versorgten Menschen, die Kapazität der Einrichtung oder ähnliche quantitative Kriterien. Unternehmen, die unter diese Schwellenwerte fallen, müssen die Anforderungen des IT-Sicherheitsgesetzes erfüllen, um ihre IT-Sicherheit und Resilienz gegenüber Cyberangriffen und IT-Störungen zu gewährleisten.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner