IDW PS 860 / PH 9.860.2

Für die Funktionsweise und das Betreiben Kritischer Infrastrukturen (KRITIS) ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) das neue, weiterentwickelte IT-Sicherheitsgesetz (IT-Sig 2.0) sowie die §§ 8a und 8b des Gesetzes über das Bundesamt für Sicher­heit in der Informationstechnik (BSI-Gesetz/BSIG) verantwortlich.

 

Diese Gesetze gewährleisten die Umsetzung angemessener organisatorischer technischer Vorkehrungen, sowie die Meldepflicht für IT-Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI). 

 

Für Sie, als Betreiber Kritischer Infrastrukturen bedeutet das, dass Sie spezielle Pflichten erfüllen müssen. Gleichzeitig haben Sie aber auch Rechte, die sich aus den §§ 3 Absatz 3 und 8b Absatz 2 Nummer 4 BSIG ergeben. Sie beinhalten insbesondere die privilegierte Beratung sowie die Bereitstellung von Informationen zu „Kritischen Gefährdungen und Lagebildern” durch das BSI.

 

 

 

 

Die Implementierung eines Information Security Management System (ISMS) unterstützt Sie maßgeblich dabei Ihre Pflichten als Betreiber einer Kritischen Infrastruktur zu erfüllen. Dadurch werden neben IT-technischen Aspekten auch die anderen wesentlichen Einflussfaktoren auf die Informationssicherheit adäquat berücksichtigt, u.a. die organisatorische und personelle, aber auch die physische Sicherheit. Ein solches ISMS kann sich an gängigen Normen und Standards orientieren, z.B. der DIN ISO/IEC27001 oder dem IT-Grundschutz.

​Welcher Ansatz für Ihr Unternehmen der passende ist, lässt sich in einem Beratungsgespräch klären. Essenziell ist in jedem Fall, dass u.a. folgende, KRITIS-spezifischen Aspekte bei der Implementierung des ISMS berücksichtigt werden:

• Scope-Definition: Es ist eindeutig zu bestimmen, welche Bestandteile der Infrastruktur Ihres Unternehmens als Kritische Infrastrukturen gelten.
• Kontaktstelle: Der Betreiber einer Kritischen Infrastruktur muss eine zentrale Kontaktstelle zum Austausch von Informationen mit dem BSI bereitstellen.
• Die Angemessenheit von Sicherheitsmaßnahmen ist im Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur zu bewerten und ggf. mit dem BSI abzustimmen.
• Für viele Branchen gibt es einen sogenannten Branchenspezifischen-Sicherheitsstandard (B3S), der den aktuellen Stand der Technik bzw. die Anforderungen für die Nachweisverfahren für die jeweilige Branche konkretisiert. Die Nutzung eines B3S erleichtert die Nachweiserbringen, da die Anforderungen speziell für die eigene Branche formuliert wurden. Sollte kein B3S für Ihre Branche vorhanden sind, bietet sich die Prüfungshilfe des IDW an, welche zusammen mit dem BSI entwickelt wurde und eine Konkretisierung der Anforderungen aus der Orientierungshilfe darstellt.

Das Institut der Wirtschaftsprüfer (IDW) hat gemeinsam mit dem BSI einen Prüfkatalog ,ergänzend zum IDW Prüfungsstandard 860, entwickelt, der für KRITIS-Betreiber Soll-Vorgaben definiert und als Mindeststandard für KRITIS-Prüfungen verwendet werden kann.

Das BSI hat die Umsetzungsanforderungen für Kritis-Betreiber weiter konkretisiert. Folgende Schwerpunkte ergeben sich:

• Informationssicherheitsmanagementsystem
• Asset Management
• Risikoanalysemethode
• Notfallmanagement
• Technische Informationssicherheit
• Personelle und organisatorische Sicherheit
• Bauliche/Physische Sicherheit
• Vorfalls-Erkennung und -Bearbeitung
• Überprüfung im laufenden Betrieb
• Externe Informationsversorgung und Unterstützung
• Lieferanten, Dienstleister und Dritte
• Meldewesen

 

Das IDW entwickelte in Abstimmung mit dem BSI einen dazu passenden Fragenkatalog für die Durchführung der Prüfungen (IDW Prüfungshinweis PH 9.860.2).

Eine so durchgeführte Prüfung der nach § 8a Abs. 1 BSIG umzusetzenden Maßnahmen kann als Angemessenheitsprüfung oder zusätzlich als Wirksamkeitsprüfung erfolgen. Die Durchführung von Wirksamkeitsprüfungen sind gemäß der Orientierungshilfe des BSI notwendig, um die Erfüllung der Anforderungen aus § 8a Abs. 1 BSIG durch ein Nachweisdokument belegen zu können.

Die Erbringung der Prüfungsleistung erfolgt in mehreren Schritten:

• Ermittlung aller zur Erbringung der kritischen Dienstleistung relevanten Unternehmensprozesse und Organisationsbereiche sowie der notwendigen IT- Infrastrukturbestandteile, Systeme und Komponenten und die Zusammenfassung dieser Daten in einer eindeutigen Scope-Definition für den betreffenden KRITIS-Geltungsbereich.
• Erstellung des Prüfkataloges für den festgelegten KRITIS-Geltungsbereich.
• Durchführung der Prüfung auf Basis des Prüfkataloges für den im Scope-Dokument definierten Geltungsbereich und Bewertung der Umsetzungsreife der getroffenen Maßnahmen.
• Im Ergebnis der Prüfung erfolgt die Erstellung eines Maßnahmenkatalogs, um die identifizierten Risiken zu behandeln und damit Umsetzungslücken zu schließen.

​Mit den folgenden Methoden arbeiten wir bei der Prüfung:

• Mündliche Befragung (Interview)
• Inaugenscheinnahme von Systemen, Orten, Räumlichkeiten und Gegenständen
• Dokumentenanalyse (auch elektronische Daten wie Logs etc.)
• Technische Vor-Ort-Prüfung (z. B. Alarmanlagen, Zutrittskontrollen)
• Fragebögen
• Einbeziehung bestehender Nachweise

​Die mittelständisch geprägte Rödl & Partner-DNA bringt für Sie im Zusammenhang mit Informationssicherheitsprojekten zahlreiche Vorteile mit sich:

• Konsequente Ausrichtung von Prüfungs- und Einführungsprojekten an gesetzlichen und unternehmerischen Anforderungen
• Themenübergreifende, interdisziplinäre Sichtweise bei der Prüfung und Umsetzung von Maßnahmen sowohl fachliche/technische, als auch wirtschaftliche und juristische Themen werden adäquat berücksichtigt
• Kombination und Einbindung mit bzw. von anderen Leistungen aus dem Bereich Informationssicherheit, u.a.:
• ISO27001- oder ISIS12-Einführungsberatung
• Informationssicherheitsaudits im Rahmen der JAP
• Stellung externen Informationssicherheitsbeauftragten

​Prüfer gibt es viele, wichtig ist aber, den richtigen Prüfer zu finden!

Er sollte Erfahrungen in der Branche haben und ihre Besonderheiten kennen. So kennt ein Automobilprüfer nicht unbedingt die Anforderung eines Lebensmittelherstellers…

Wir haben Erfahrungen sowie Umsetzungs- und Prüfkompetenzen in den folgenden Sektoren:

• Ernährung
• Energie
• Informationstechnik und Telekommunikation
• Gesundheit
• Transport und Verkehr
• Wasser
• Finanz- und Versicherungswesen

 

Natürlich ist es möglich sich externer Branchenexperten zu bedienen. Wir und auch unsere Mandanten haben allerdings die Erfahrung gemacht, dass die Branchenexpertise direkt im Team ein unermesslicher Vorteil ist: mit Augenmaß interpretieren, die möglichen Gefährdungen für die kritische Dienstleistung richtig einschätzen oder auch einfach nur Handlungsempfehlungen auf Basis unserer Erfahrungen bei anderen Mandanten geben.