1. Überblick
In einer zunehmend digitalisierten Welt spielt die Sicherheit kritischer Infrastrukturen (KRITIS) eine entscheidende Rolle für die öffentliche Sicherheit und die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen. Der § 8a Abs. 3 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) setzt den Rahmen für die Sicherheitsanforderungen, die KRITIS-Unternehmen erfüllen müssen. Ein Bestandteil davon ist die Prüfung von Systemen zur Angriffserkennung (SzA). Unsere Prüfung der SzA bietet Organisationen und Unternehmen die Möglichkeit, diese verpflichtenden Sicherheitssysteme auf Konformität und Effektivität überprüfen zu lassen.
2. Was sind Kritische Infrastrukturen?
Kritische Infrastrukturen umfassen Organisationen, Einrichtungen und Unternehmen mit wichtiger Bedeutung für das Gemeinwesen, deren Ausfall oder Beeinträchtigung zu nachhaltigen Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen schwerwiegenden Folgen führen würde. Dazu zählen Sektoren wie Energie, Wasser, Gesundheit und Finanzen. Die Sicherheit dieser Infrastrukturen ist heutzutage enger denn je mit digitaler Sicherheit verknüpft.
3. Was sind Systeme zur Angriffserkennung?
Systeme zur Angriffserkennung sind Sicherheitslösungen, die kontinuierlich den Datenverkehr und andere geeignete Merkmale und Parameter in einer Organisation überwachen. Sie identifizieren verdächtige oder ungewöhnliche Aktivitäten, um auf mögliche Bedrohungen oder Angriffe hinzuweisen. Weiterhin sehen sie geeignete Beseitigungsmaßnahmen für eingetretene Störungen vor.
4. Artikel 8a BSIG im Überblick
§ 8a Abs. 3 BSIG fordert von Betreibern Kritischer Infrastrukturen, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu treffen. Diese gesetzlichen Vorgaben zielen darauf ab, die Resilienz dieser essenziellen Dienste gegenüber Angriffen, Bedrohungen von außen und anderen Sicherheitsrisiken zu erhöhen. Ein wichtiger Bestandteil zur Erreichung dieser Ziele sind die Systeme zur Angriffserkennung, die in § 8a Abs. 3 BSIG beschrieben werden. Das Bundesamt für Sicherheit in der Informationstechnik spielt dabei eine zentrale Rolle, indem es Standards setzt und Nachweise fordert.
5. Vorteile der Prüfung
Die Prüfung der Systeme zur Angriffserkennung bietet Organisationen und Unternehmen die Möglichkeit, ihre Konformität mit diesem Teil des § 8a des BSIG zu überprüfen. Ebenfalls gilt das für §11 Abs. 1e des EnWG, der auch Systeme zur Angriffserkennung thematisiert. Darüber hinaus ermöglicht die Prüfung Unternehmen, vorhandene Sicherheitsmaßnahmen zu evaluieren und auf korrekte Funktionalität zu testen.
6. Der Prüfungsprozess
Als Betreiber Kritischer Infrastrukturen oder sonstiger relevanter Organisationen müssen Systeme zur Angriffserkennung in einer Form implementiert sein, wie sie das BSI vorschreibt. Hier werden wir aktiv, um die Angemessenheit der Maßnahmen zu überprüfen und zu verifizieren. Ihre verwendeten Systeme und deren Implementierung werden anhand des Umsetzungsgradmodells des BSI analysiert und müssen mindesten Stufe 3 erreichen. Anschließend werden die relevanten Unterlagen für das BSI von uns vorbereitet.
Nach Abschluss der Prüfung müssen Betreiber von Kritischer Infrastruktur dem BSI mindestens alle zwei Jahre anhaltende Compliance mit einer erneuten Prüfung nachweisen.
7. Kontaktieren Sie uns
Wollen Sie Ihre Systeme zur Angriffserkennung überprüfen lassen, um die Konformität mit gesetzlichen Anforderungen sicherzustellen und die Effektivität zu überprüfen? Kontaktieren Sie uns gerne für weitere Informationen.
Häufig gestellte Fragen
Der Preis für eine Prüfung Ihrer Systeme zur Angriffserkennung im Kontext von Artikel 8a BSIG oder §11 Abs. 1e EnWG ist stark abhängig von der Größe Ihrer Organisation und den implementierten Maßnahmen. Der ausschlaggebende Kostenfaktor sind die Prüftage, also die aufgewendete Zeit seitens der Prüfer. Kontaktieren Sie uns gerne für ein individuelles Angebot.
Die Dauer der Prüfung der Systeme zur Angriffserkennung wird individuell von der Zertifizierungsstelle berechnet. Kontaktieren Sie uns gerne für ein individuelles Angebot.
Nach der Prüfung werden alle relevanten Prüfdokumente, welche von uns auszufüllen sind, zum Einreichen an das BSI von der Zertifizierungsstelle ausgestellt und an Sie versendet. Das BSI-Gesetz schreibt hier alle zwei Jahre vor.
Das BSI-Gesetz schreibt hier alle zwei Jahre vor.
Stand der Technik bezieht sich auf das aktuelle Niveau der technologischen Entwicklungen, aber auch auf anerkannte Best Practices im Bereich der IT-Sicherheit. Vor allem technologische Aktualität sowie Anpassung an die stets wandelnde Bedrohungslage sind hier Schlüsselfaktoren.
Konsequenzen bei Nichteinhaltung oder großen Abweichungen können sowohl rechtlicher als auch finanzieller Natur sein, darunter Bußgelder, Auflagen oder Haftungsrisiken. Bitte informieren Sie sich hierzu direkt beim BSI.
Sicherheitsmaßnahmen sollten so oft aktualisiert werden, dass sie stets dem aktuellen Stand der Technik und der Bedrohungslage angepasst sind. Dabei kann kein genauer Zeitraum genannt werden.
Nein, es wird kein Zertifikat ausgestellt. Nach der Prüfung werden alle relevanten Prüfdokumente, welche von uns auszufüllen sind, zum Einreichen an das BSI von der Zertifizierungsstelle ausgestellt und an Sie versendet.
Die Adolf Würth GmbH & Co. KG erhebt und verarbeitet die in dem Formular angegebenen personenbezogenen Daten, um für Sie die gewünschte Anfrage zu bearbeiten. Bitte beachten Sie bei den Formularen die Markierung der Pflichtfelder. Rechtsgrundlage für diese Verarbeitung, der zwingend erforderlichen Daten, ist Art. 6 Abs. 1 lit. b DSGVO, Durchführung einer vorvertraglichen Maßnahme. Die Verarbeitung der von Ihnen freiwillig mitgeteilten Daten erfolgt auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Danach ist eine Verarbeitung zulässig, die zur Wahrung der unserer berechtigten Interessen erforderlich ist. Unser berechtigtes Interesse besteht darin, mit Ihnen, unseren Kunden, Kontakt zu haben, unsere Beratungsqualität zu verbessern und Sie bei möglichen Rückfragen einfacher kontaktieren zu können. Die erhobenen Daten werden von uns nur solange gespeichert, wie es für die Bearbeitung Ihrer Anfrage sowie zur Kontaktaufnahme mit Ihnen erforderlich ist. Danach werden sie gelöscht.
Ergänzende Datenschutzhinweise, insbesondere zu Ihren Rechten auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Beschwerde, finden Sie in unserer Datenschutzerklärung.