Das IT-Sicherheitsgesetz und ISO 27001 im Rahmen der KRITIS-Verordnung
In Deutschland müssen Betreiber Kritischer Infrastrukturen (KRITIS) bestimmten gesetzlichen Anforderungen zur Informationssicherheit genügen, die im IT-Sicherheitsgesetz und in der BSI-Kritisverordnung festgelegt sind. Die ISO 27001-Zertifizierung ist dabei nicht zwingend vorgeschrieben.
Allerdings verlangt das IT-Sicherheitsgesetz von KRITIS-Betreibern, angemessene Sicherheitsmaßnahmen zu ergreifen und einen Mindeststandard für Informationssicherheit einzuhalten. Hierfür kann die ISO 27001-Zertifizierung als Nachweis für die Umsetzung eines umfassenden Informationssicherheits-Managementsystems (ISMS) dienen und als Best Practice angesehen werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt zudem branchenspezifische Sicherheitsstandards heraus, die auf der Grundlage von ISO 27001 entwickelt wurden. Diese Standards sind als IT-Grundschutz-Kompendium bekannt und bieten einen erweiterten Rahmen für die Umsetzung von Informationssicherheitsmaßnahmen in KRITIS-Bereichen.
Insgesamt ist die ISO 27001-Zertifizierung für KRITIS-Betreiber nicht verpflichtend, aber sie kann als wirksames Instrument zur Erfüllung der gesetzlichen Anforderungen und zum Nachweis der Einhaltung von Informationssicherheitsstandards dienen. Unternehmen, die zu KRITIS zählen, sollten die für ihre Branche geltenden Vorschriften sorgfältig prüfen und erwägen, ob die Einführung eines ISMS nach ISO 27001 oder eine vergleichbare Norm für sie von Vorteil ist.
Was fordert das IT-Sicherheitsgesetz
IT-Sicherheitsgesetz und ISO 27001
Das am 30. Juni 2017 in Kraft getretene IT-Sicherheitsgesetz in Deutschland verfolgt das Ziel, die IT-Sicherheit von Kritischen Infrastrukturen (KRITIS) zu stärken und somit das Sicherheitsniveau von Organisationen, die für das Funktionieren der Gesellschaft von entscheidender Bedeutung sind, zu erhöhen. Das Gesetz selbst erwähnt ISO 27001 nicht explizit, legt jedoch grundlegende Anforderungen fest, die KRITIS-Betreibern in Bezug auf IT-Sicherheit auferlegt werden. Einige dieser Anforderungen sind:
Obwohl das IT-Sicherheitsgesetz nicht explizit die Implementierung eines ISO 27001-konformen Informationssicherheits-Managementsystems (ISMS) verlangt, kann die Einhaltung dieses Standards dazu beitragen, die gesetzlichen Anforderungen zu erfüllen. Die ISO 27001-Zertifizierung kann als Best Practice und als Nachweis für die Umsetzung von angemessenen Sicherheitsmaßnahmen angesehen werden.
Zudem hat das BSI den IT-Grundschutz entwickelt, der auf ISO 27001 basiert und als Leitfaden für KRITIS-Betreiber dienen kann. Der IT-Grundschutz definiert branchenspezifische Sicherheitsanforderungen und bietet einen erweiterten Rahmen für die Umsetzung von Informationssicherheitsmaßnahmen in KRITIS-Bereichen.
Welche Unternehmen fallen unter KRITIS
In Deutschland fallen Unternehmen und Organisationen, die Kritische Infrastrukturen (KRITIS) betreiben, unter besondere gesetzliche Anforderungen in Bezug auf IT-Sicherheit, wie im IT-Sicherheitsgesetz und der BSI-Kritisverordnung festgelegt. Kritische Infrastrukturen sind Organisationen und Einrichtungen, die für das Funktionieren des Staates und das gesellschaftliche Zusammenleben von zentraler Bedeutung sind. Ihr Ausfall oder Beeinträchtigung hätte erhebliche Folgen für die Versorgung der Bevölkerung, die öffentliche Sicherheit oder andere wichtige Aspekte des gesellschaftlichen Lebens.
KRITIS-Betreiber finden sich in verschiedenen Sektoren. Laut BSI-Kritisverordnung sind folgende Sektoren als kritisch eingestuft:
Nicht alle Unternehmen innerhalb dieser Sektoren gelten automatisch als KRITIS-Betreiber. Die BSI-Kritisverordnung legt Schwellenwerte fest, ab denen eine Einrichtung als kritisch gilt. Diese Schwellenwerte variieren je nach Sektor und beziehen sich in der Regel auf die Anzahl der versorgten Menschen, die Kapazität der Einrichtung oder ähnliche quantitative Kriterien. Unternehmen, die unter diese Schwellenwerte fallen, müssen die Anforderungen des IT-Sicherheitsgesetzes erfüllen, um ihre IT-Sicherheit und Resilienz gegenüber Cyberangriffen und IT-Störungen zu gewährleisten.