Note
This page contains information about German IT security laws.
An English translation is not available.
Hier finden Sie eine Übersicht der Pflichten, die sich aus der Klassifikation als Kritische Infrastruktur gemäß der BSI-Kritisverordnung ergeben. Angegeben sind jeweils auch die Fristen, ab wann die Regelungen gelten bzw. bis wann sie umgesetzt sein müssen. Zur Orientierung haben wir außerdem Handlungsempfehlungen und mögliche nächste Schritte auf dem Weg zur Umsetzung für Sie erstellt.
ironDNS® für Kritische DNS-Infrastrukturen
Sie fragen sich, wieso ein Spezialist für DNS-Dienstleistungen Informationen über kritische Infrastrukturen in Bereichen wie Wasserversorgung oder Ernährung anbietet? Die Antwort ist naheliegender, als Sie vielleicht denken. Denn die sich ergebenden Pflichten für Betreiber Kritischer Infrastrukturen und viele der notwendigen Schritte für die Umsetzung der geforderten IT-Sicherheitsstandards unterscheiden sich sektorübergreifend nur wenig.
Als DIN ISO/IEC 27001:2015-zertifiziertes Unternehmen wissen wir außerdem, wie aufwendig und kostenintensiv die notwendigen Umstellungen der internen Prozesse sein können. Daher stellt sich mit der Einstufung als Kritische Infrastruktur im Sinne des IT-Sicherheitsgesetzes auch immer die Frage nach einem möglichen Outsourcing an einen spezialisierten Dienstleister.
ironDNS® ist eine wirtschaftliche Möglichkeit, die Stabilität, Verfügbarkeit und Zuverlässigkeit ihrer Nameserver-Dienste zu verbessern. ironDNS® ermöglicht den Betrieb von kritischen DNS-Infrastrukturen auf höchstem technischen Niveau. Eingebettet in ISO 27001-zertifizierte Prozesse erfüllt ironDNS® alle nach dem IT-Sicherheitsgesetz geforderten Auflagen schon heute.
Wenden Sie sich daher für Fragen zum Betrieb Ihrer Kritischen Infrastrukturen im Bereich DNS gerne an uns.
Weiterführende Links:Pflichten und Handlungsempfehlungen
Meldepflichten
Frist/Gültig ab: Mai 2016 (mit Inkrafttreten der BSI-Kritisverordnung am 03.05.2016)
Erklärung: Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik erhebliche IT-Störungen zu melden. Die Meldung kann anonym erfolgen, eine Nennung des meldenden Betreibers ist nur in bestimmten Fällen notwendig.
Im Gegenzug gibt das BSI Warnmeldungen und Handlungsempfehlungen heraus, die eine frühzeitige Vorbereitung auf Angriffe oder Ausfälle ermöglichen sollen.
Was muss gemeldet werden? Namentlich gemeldet werden müssen Ausfälle und Beeinträchtigungen der kritischen Dienstleistung. Darüber hinaus müssen auch IT-Störungen gemeldet werden, die zu einem Ausfall oder eine Beeinträchtigung führen können, falls diese nur mit Maßnahmen abgewehrt werden können, die über die nach Stand der Technik Üblichen hinaus gehen. (Etwa nur mit erhöhtem Koordinierungsaufwand, dem Hinzuziehen zusätzlicher Experten, oder der Einberufung eines Krisenstabs.) Die Meldung solcher Beinahe-Beeinträchtigungen kann anonym erfolgen.
Sanktionen: Für Versäumnisse bei den Meldepflichten (wie verspätete oder nicht ordnungsgemäße Meldungen) sind Bußgelder von bis zu 50.000 Euro vorgesehen (§14 IT-Sicherheitsgesetz).
So geht es weiter: Bauen Sie die erforderlichen Strukturen auf, um den im Gesetz verankerten Meldepflichten nachzukommen. Ein erster Schritt ist die interne Sammlung und Klassifizierung von Sicherheitsvorfällen, um diese auf ihre Meldepflicht hin überprüfen zu können.
Weiterführende Links:Einrichtung einer Kontaktstelle
Frist/Gültig ab: November 2016 (6 Monate nach Inkrafttreten der BSI-Kritisverordnung am 03.05.2016)
Erklärung: Betroffene Unternehmen aus den Sektoren IKT, Energie, Wasser und Ernährung haben ab Veröffentlichung der Rechtsverordnung sechs Monate Zeit, dem BSI eine Kontaktstelle für Vorfallsmeldungen zu benennen. An diese Adresse schickt das BSI IT-Sicherheitsinformationen.
Sanktionen: Keine bekannt.
So geht es weiter: Nutzen Sie den unten genannten Link, um dem BSI Ihre Kontaktstelle zu benennen.
Weiterführende Links:Umsetzung branchenspezifischer IT-Sicherheitsstandards
Frist/Gültig ab: Mai 2018 (2 Jahre nach Inkrafttreten der BSI-Kritisverordnung am 03.05.2016)
Erklärung: Die im Gesetz definierten Anforderungen könnten durch die Implementierung eines Informationssicherheits-Managementsystem (ISMS) erreicht werden, das sich an der ISO 27001 orientiert.
Sanktionen: IT-Sicherheitsvorfälle, die sich auf Versäumnisse bei der Umsetzung der geforderten IT-Sicherheitsmaßnahmen zurück führen lassen, können mit Bußgeldern von bis zu 100.000 Euro bestraft werden (§14 IT-Sicherheitsgesetz).
So geht es weiter: Die Umsetzung von branchenspezifischen IT-Sicherheitsstandards ist sicher die größte finanzielle und personelle Herausforderung, die sich für die betroffenen Unternehmen aus dem IT-Sicherheitsgesetz ergibt. Der erste Schritt sollte daher eine Wirtschaftlichkeitsbetrachtung sein. Der Gesamtaufwand für die Umsetzung der technischen und organisatorischen Maßnahmen muss abgeschätzt werden. Parallel dazu sollte geprüft werden, ob es spezialisierte Anbieter gibt, an die der Betrieb der Kritischen Infrastruktur ausgelagert werden kann.
Update 5. Juli 2016: Zur Unterstützng in der Frage, welche technischen und organisatorischen Vorkehrungen Telemediendiensteanbieter zu treffen haben, hat das BSI ein Diskussionspapier „Absicherung von Telemediendiensten nach Stand der Technik“ veröffentlicht.
Weiterführende Links: