Sie sind hier: Home » Markt » Hinweise & Tipps

Regelmäßige Zertifizierungen sind Pflicht


IT-Sicherheitsgesetz: Vorab-Audits schützen vor Aktionismus
Standards nach ISO-Normen empfehlenswert

(11.08.15) - Die Bedeutung eines Informationssicherheits-Managementsystems ist nicht zu unterschätzen: Laut Bundesinnenministerium basieren 40 Prozent der Wertschöpfung weltweit auf Informations- und Kommunikationstechnik. Die digitale Vernetzung von Behörden, Wirtschaft und Privatpersonen ist so eng wie nie zuvor. Angriffe auf die IT-Infrastrukturen können somit weitreichende Folgen haben – für einzelne Unternehmen und das ganze Gemeinwesen. Mitte Juni hat der Bundestag daher das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" verabschiedet. Es verpflichtet Unternehmen der sogenannten "Kritischen Infrastruktur", ein Mindestniveau an IT-Sicherheit zu halten und Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Aufwand ist individuell zu prüfen
Die ,Kritische Infrastruktur‘ umfasst demnach rund 2.000 Unternehmen aus den Branchen Energie, Informationstechnik und Kommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzen und Versicherungen. Genaueres regelt eine Rechtverordnung, die spätestens bis Ende 2018 in Kraft treten soll. Ab dann haben betroffene Firmen zwei Jahre Zeit, ihre IT-Sicherheitsstandards den Mindestanforderungen des BSI anzupassen. Sie müssen eine Kontaktstelle zum BSI einrichten sowie technische und organisatorische Vorkehrungen treffen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Daten sicherzustellen. "Was im Einzelnen konkret mit welchem personellen und finanziellen Aufwand zu tun ist, hängt stark von der Branche und dem vorherrschenden Sicherheitsstandard im Unternehmen ab. Basis für jegliche Maßnahmen sollte daher eine gründliche Analyse des Ist-Zustands sein", sagt Ralph Freude, IT-Sicherheitsexperte bei TÜV Rheinland. TÜV Rheinland bietet hierfür eine Bestandsaufnahme oder eine Erläuterung der Normenanforderungen an.

Standards regelmäßig updaten
In der Regel wird mindestens der Nachweis eines Informationssicherheits-Managementsystems nach ISO 27001 verlangt. Unternehmen, die Gas- und/oder Stromnetze betreiben, müssen sich sogar nach jetzigem Stand gemäß ISO 27001 zertifizieren lassen. Welche Maßnahmen sinnvoll sind und wie man sie umsetzt, verrät als eine Art Best-Practice-Leitfaden der Standard ISO 27019. TÜV Rheinland bietet neben der ISO 27001-Zertifizierung eine zusätzliche Konformitätsbescheinigung nach ISO 27019 an. Damit signalisieren Energieunternehmen, dass sie die spezifischen Anforderungen an ihre Branche in besonders hohem Maße erfüllen.

"Ein erstes Unternehmen aus der Energiebranche in Münster hat sowohl die ISO 27001 als auch die ISO 27019 erfolgreich umgesetzt", so Freude. Unternehmen können dem Bundesamt aber auch eigene, branchenspezifische Sicherheitsstandards vorstellen. Ob diese ausreichend sind, entscheidet die Aufsichtsbehörde dann im Einzelfall. Ein Vor-Audit bzw. eine Bestandsaufnahme durch TÜV Rheinland kann die Chancen auf eine Zertifizierung vorab bewerten. Wer dem Gesetz nicht Folge leistet, muss mit einer Geldstrafe bis zu 100.000 Euro rechnen. Durch geeignete Maßnahmen wie Audits oder auch Zertifizierungen ist alle zwei Jahre nachzuweisen, dass die gesetzlichen Anforderungen nach dem jeweils aktuellsten Stand der Technik erfüllt werden.

Die vielfältigen Anforderungen des Gesetzes stellen vor allem Unternehmen organisatorisch und technisch vor Probleme, die sich bis dato wenig um ihre IT-Sicherheit gekümmert haben. (TÜV Rheinland: ra)

TÜV Rheinland: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

Das IT-Problem sitzt vor dem Rechner Scoring-Daten häufig falsch und unvollständig

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen