Andreas Weyert zum Auditor für KRITIS-Prüfverfahren berufen

Berufung zum §8a-Auditor in Verbindung mit der zusätzlichen Prüfverfahrenskompetenz für Systeme zur Angriffserkennung

Die Zertifizierungsgesellschaft TÜV NORD CERT beruft Andreas Weyert, Architect Information Security bei pco, auch zum §8a-Auditor in Verbindung mit der zusätzlichen Prüfverfahrenskompetenz für Systeme zur Angriffserkennung (SzA). Damit wird ihm die Kompetenz bescheinigt, im Auftrag der Zertifizierungsgesellschaft Audits nach §8a BSIG und SzA durchzuführen. Zudem erfolgte die Aufrechterhaltung der Berufung zur Durchführung von zertifizierungsrelevanten Tätigkeiten im Umfeld der neuen Norm ISO/IEC 27001:2022.

160819_PCO_SubService_Icons_Clean_V1_R2
25. Juli 2023
160819_PCO_SubService_Icons_Clean_V1_R2
Consulting
160819_PCO_SubService_Icons_Clean_V1_R2
Daniela Gibmeyer

Das wichtigste Gesetz in der KRITIS-Regulierung ist das BSI-Gesetz

In einer digital vernetzten Welt ist eine sichere IT-Infrastruktur wichtiger denn je. Insbesondere Unternehmen, die zu den „kritischen Infrastrukturen“ (KRITIS) zählen, gelten als besonders schützenswert. Kommt es zum Ausfall einer KRITIS-Institution, können nachhaltige Versorgungsengpässe entstehen und auch die öffentliche Sicherheit kann in Gefahr geraten. Das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ("IT-SiG 2.0") nimmt mit einer Anpassung von Schwellenwerten und Ausweitung der kritischen Sektoren in der KRITIS-Verordnung nun deutlich mehr Organisationen in die Pflicht, wirksame Maßnahmen zur Erhöhung des Niveaus zur Informationssicherheit zu ergreifen. In Form von Sicherheitsaudits müssen KRITIS-Betreiber gem. § 8a III BSIG alle zwei Jahre dem BSI die Umsetzung angemessener Maßnahmen und die Einhaltung der Technikstandards nachweisen.

Mit IT-SiG 2.0 gehören Systeme zur Angriffserkennung (SzA) nun ausdrücklich zu den technischen und organisatorischen Sicherheitsvorkehrungen in KRITIS-Anlagen. Diese müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Die Umsetzung dieser Forderung kann z.B. unter Einbeziehung von Security Operation Center (SOC) oder Security Information and Event Management (SIEM) realisiert werden. Der Einsatz von SzA ist für kritische Infrastrukturen spätestens ab dem 1. Mai 2023 verpflichtend.

Weitere Details zu KRITIS und SzA veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik auf seinen Webseiten.

Was hat es mit der aktualisierten ISO/IEC 27001:2022 auf sich?

ISO 27001 ist die international führende Norm zur Einführung eines ganzheitlichen Managementsystems für Informationssicherheit. An dieser seit mehr als zwei Jahrzehnten grundlegenden, weltweit anerkannten Prüfgrundlage für ISMS kommt heute, wenn es um Informationssicherheit geht, kein Unternehmen mehr vorbei. Sie definiert die Anforderungen an Aufbau, Einführung, Umsetzung, betriebliche Überwachung und Dokumentation an ein ISMS. Bestehende Risiken für die Unternehmen werden im Rahmen des erforderlichen Risikomanagements identifiziert, analysiert und durch wirksame Maßnahmen behoben. Die Norm betrachtet nicht nur IT-Prozesse. Sie bezieht auch Aspekte der Infrastruktur wie Organisation, Personal und Gebäude sowie deren Umfeld mit ein.

Am 25. Oktober 2022 wurde der neue Bewertungsrahmen für Informationssicherheit, die ISO/IEC 27001:2022 unter dem neuen Titel „Information Security, Cybersecurity and Privacy Protection“ veröffentlicht. Damit korrespondiert die ISO 27001 wieder mit dem Leitfaden ISO 27002 und entspricht dem Stand der Technik. Die Übergangsfrist für bestehende ISO 27001-Zertifikate beträgt drei Jahre ab dem letzten Tag des Veröffentlichungsmonats der neuen ISO/IEC 27001:2022 (Oktober 2022). Das heißt, alle Zertifikate nach ISO/IEC 27001:2013 beziehungsweise DIN EN ISO/IEC 27001:2017 müssen bis zum 31. Oktober 2025 auf die neue Version ISO 27001 aus 2022 umgestellt sein.

Was sind BSIG und NIS2 und wie hängen sie zusammen?

Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) reguliert die Sicherheit Kritischer Infrastrukturen (KRITIS) und legt Pflichten, Aufgaben und Befugnisse von Betreibern und Staat fest.

NIS2 steht für die überarbeitete zweite Fassung der 2016 verabschiedeten Directive on Security of Network and Information Systems.  NIS2 zielt darauf ab, die Sicherheit von Netzwerken und Informationssystemen in der gesamten Europäischen Union zu gewährleisten. Die Richtlinie legt Mindestanforderungen für die Sicherheit von Netzwerken und informationstechnischen Systemen fest und enthält Bestimmungen zur Meldung von Sicherheitsvorfällen und zur Zusammenarbeit zwischen den EU-Mitgliedstaaten.

BSIG und NIS2 haben beide das Ziel, die Sicherheit von Informationssystemen und Netzwerken zu verbessern, jedoch auf unterschiedlichen Ebenen. Das BSIG ist ein nationales Gesetz, das in Deutschland gilt und die Sicherheit in der Informationstechnik regelt. NIS2 ist eine EU-Richtlinie, die auf europäischer Ebene harmonisierte Sicherheitsstandards für Netzwerke und Informationssysteme festlegt.

Geplant ist, durch NIS2 den Anwendungsbereich der bisherigen NIS1-Richtlinie drastisch auszuweiten. Unternehmen mit mehr als 50 Mitarbeitenden und einem Jahresumsatz von mehr als 10 Millionen Euro sollen künftig unter NIS2 fallen, wenn sie in einem kritischen Sektor tätig sind. 

Binnen 18 Monaten nach Inkrafttreten sollen die Mitgliedsstaaten die NIS2-Richtlinie in nationales Recht umgesetzt haben. Betroffene Unternehmen müssen sich also auf erheblich verschärfte Vorgaben in puncto Cybersicherheit ab 2024 oder spätestens 2025 einstellen.

Wissenswertes über Andreas Weyert

Andreas Weyert

Andreas Weyert, Jahrgang 1974, ist zertifizierter BSI IT-Grundschutz-Auditteamleiter und externer Auditor für ISO 27001, ISO 9001, TISAX und BSIG/KRITIS in Verbindung mit Systemen zur Angriffserkennung. Bei pco entwickelt er als Senior Architekt Information Security bei Kunden die Bereiche Informationssicherheit und Risk-Management. Darüber hinaus ist Andreas Weyert Autor zweier Fachbücher zur Netzwerk- und Informationssicherheit.

Das könnte Dich auch interessieren

Daniela Gibmeyer

Daniela Gibmeyer

Marketing Manager | Consulting Services

0541 605 1523