IT-Sicherheit 5. April 2022

Kritis effizient und nachhaltig mit ISMS-Tool betreiben

Die Komplexität des Risiko-Managements für Kritis-Betreiber steigt immens: Helfen kann ein softwarebasiertes Information Security Management System (ISMS).

Ein Ausfall von Kritis durch Cyberangriffe, Stromausfälle oder extreme Wetterlagen kann erhebliche Störungen der öffentlichen Sicherheit und andere dramatische Folgen mit sich bringen.

Kritis-Betreiber als Organisationen und Einrichtungen tragen eine große Verantwortung für das staatliche Gemeinwesen – ein Ausfall dieser Einrichtungen durch Cyberangriffe, Stromausfälle oder extreme Wetterlagen kann nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit und andere dramatische Folgen mit sich bringen. Darüber hinaus nehmen die gesetzlichen Anforderungen stetig zu, wodurch Kritis-Betreiber zum Handeln gezwungen werden. Die Komplexität des Managements von Chancen, Risiken und der Nachweisführung steigt dadurch immens und ist manuell kaum noch effizient und nachhaltig zu bewältigen – Die Lösung: ein softwarebasiertes Information Security Management System (ISMS).

Kritis-Betreiber müssen sich aktiv um IT- und Informationssicherheit kümmern

Da der Staat allein keinen vollständigen Schutz aller Infrastrukturen gewährleisten kann, sind Kritis-Betreiber aufgefordert, sich um ihre IT- und Informationssicherheit aktiv zu kümmern. Betreiber kritischer Infrastrukturen sind sogar nach §8a BSIG dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen im Rahmen eines Informationsmanagement-Systems (ISMS) zu treffen. Dabei bezieht sich ein ISMS nicht nur auf die IT-Sicherheit des Unternehmens, sondern trägt insgesamt zur Widerstandsfähigkeit (Resilienz) und Optimierung des Unternehmens bei. Sehen Sie die Einführung eines ISMS jedoch weniger als gesetzliches „Muss“, sondern viel mehr Chance, um Ihr Sicherheitsniveau zu steigern und das Vertrauen bei Kunden, Dienstleistern und Vertragspartnern zu verbessern.

Kritis 2.0 etabliert eine neue Meldepflicht für sogenannte „Kritische Komponenten“, also Software- und Hardware-Produkte, deren Ausfall eine Anlage empfindlich beeinträchtigen würde.

Kritis-Verordnung 2.0: Was ändert sich für Betreiber?

Nach dem Erlass des IT-Sicherheitsgesetzes 2.0 im Mai 2021 gelten seit dem 1. Januar 2022 nun auch für die Betreiber Kritischer Infrastrukturen (Kritis) neue Bestimmungen.

Softwarebasierte Einführung eines ISMS bei Kritis

Welche Vorteile habe ich durch eine softwarebasierte Einführung eines ISMS, und was sollte solch eine Software mitbringen?

Standardisierte und erprobte Vorgehensweisen, um die Komplexität zu reduzieren.
Eine auf Sie anpassungsfähige Grundkonfiguration der Risikomethode und Stammdaten.
Eine zentrale Datenbasis, was zu einer nachhaltigen Dokumentation ohne Wissensabfluss über den Faktor Zeit und/oder Veränderungen führt.
Umfangreiche Importmöglichkeiten und Schnittstellen, um die bereits im Unternehmen vorhandenen Informationen nutzen zu können. Das verhindert doppelte Datenpflege und spart wertvolle Zeit beim Aufbau.
Ein Risikomanagement mit einheitlichem Vorgehen, klaren Vorgaben und Kriterien, wodurch negative Auswirkungen auf Geschäftsprozesse und Risiken schnell erkannt und reduziert werden können.
Ein zentrales Aufgabenmanagement, um den Überblick über Maßnahmen zu behalten und Tätigkeiten zu managen sowie kontrollieren zu können.
Reports on Demand. Berichtsfunktionen per Knopfdruck für interne oder externe Revisionszwecke.
Individuell abbildbare Anforderungskataloge (ISO27001, B3S, IT-Grundschutz, ISO9001, u.v.m.) inkl. Update-Service.
Komfortable Lenkung der Dokumente aus einer zentralen Oberfläche heraus inkl. Hilfestellung in Form von Dokumentenvorlagen oder Einbindungsmöglichkeit existierender Dokumentenmanagement-Systeme.
Hilfestellung in Bearbeitung des Anforderungskatalogs durch ein Hilfesystem (Digitaler Coach) und Ausweisung der Verknüpfungen zu weiteren Normkatalogen.

Mit Einführung und Zertifizierung ist es nicht getan

Doch wie bei allen Veränderungen in Unternehmen gilt auch bei einem ISMS: mit einer einmaligen Einführung und dessen Zertifizierung ist es nicht getan. Maßnahmen, Abläufe und Handlungsverpflichtungen, die das ISMS festlegt, werden in die Unternehmenskultur integriert und im Alltag gelebt.

Natürlich kann es trotz eines etablierten ISMS immer zu einem Notfall kommen. Daher verlangen die Anforderungen eines funktionsfähigen ISMS auch eine überzeugende IT-Notfallplanung, damit das Unternehmen im Ernstfall umgehend reagieren und seine Geschäftsprozesse schnellstmöglich wieder zum Laufen bringen kann. Die Experten und Softwarehersteller der Contechnet Deutschland GmbH beraten und unterstützen Kritis-Betreiber, wenn es um Informationssicherheit, Notfallplanung und Datenschutz geht.