Basierend auf jahrzehntelanger Erfahrung im Bereich IT-Sicherheit unterstützt der Softwareentwickler OEDIV SecuSys GmbH KRITS- und UBI-Unternehmen sowie deren Zulieferer bei der Umsetzung der Vorgaben des im Mai 2021 novellierten IT-Sicherheitsgesetzes und der am 1. Januar 2022 in Kraft getretenen 2. Änderungsverordnung der BSI-KritisV. Die „Zweite Verordnung zur Änderung der BSI-Kritisverordnung“ erweitert das IT-Sicherheitsgesetz 2.0 und definiert neue Schwellenwerte, Ergänzungen und Anpassungen der KRITIS-Anlagen in den bestehenden Sektoren.
Deutliche Herabsetzung der KRITIS-Schwellenwerte
Das entscheidende Novum: Die Herabsetzung der Schwellenwerte erweitert deutlich den Kreis der von der Definition der Bundesressorts umfassten „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Nach Einschätzung des Bundesministeriums des Innern, für Bau und Heimat erhöht sich damit die Gesamtzahl der Betreiber Kritischer Infrastrukturen von ca. 1.600 auf ca. 1.870 Unternehmen, die den Vorgaben des BSI-Gesetzes und damit auch einer verschärften Investitionskontrolle unterliegen.
„In der Praxis bedeutet das, dass Unternehmen, die zuvor nicht betroffen waren, erheblich höhere Anforderungen an die IT-Sicherheit – etwa bei der Abwehr von Hackerangriffen – erfüllen müssen. Das Spektrum reicht von ca. 150 Stromerzeugern über ein Dutzend IT- und Telekommunikationsanbieter bis hin zu zahlreichen Betreibern intelligenter Verkehrssysteme, die durch die neuen legislativen Vorgaben vor zusätzlichen organisatorischen Herausforderungen stehen. Beispielsweise werden nunmehr auch Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind, als Anlagen im Sinne der Verordnung definiert. Schnelles Handeln ist daher geboten, um auch weiterhin rechts- und investitionssicher agieren zu können“, erläutert Fabian Neumann, Geschäftsführer OEDIV SecuSys GmbH.
Schnellstmögliche Bestandsaufnahme und GAP-Analyse empfohlen
Unternehmen, die unter die neue KRITIS-Verordnung fallen, sollten umgehend eine Bestandsaufnahme und GAP-Analyse durchführen, um mögliche Lücken zwischen dem Ist- und dem Soll-Zustand detailliert zu erfassen und zu bewerten, so die Empfehlung des TÜV Rheinland.
Neumann verweist darauf, dass KRITIS-Projekte die gesamte Aufbau- und Ablauforganisation betreffen: „Das reicht vom Aufzeigen und Dokumentieren objektiver Risiken bis hin zu der Umsetzung entsprechender Sicherheitsmaßnahmen und einer zielgerichteten Kommunikation mit allen internen und externen Stakeholdern. In dieses Organisationsprojekt sollten von Anfang an alle Unternehmensbereiche integriert werden – flexibel, praxis- und bedarfsorientiert. Mit unserem langjährig aufgebauten Security-Know-how sind wir für unsere Kundenunternehmen der Trusted Advisor.“
Das Software-Angebot von OEDIV SecuSys ergänzt die Premium-Infrastrukturlösungen und Managed Services des Mutterunternehmens OEDIV Oetker Daten- und Informationsverarbeitung KG. Die Zugehörigkeit zur Oetker-Gruppe und die mehr als 20-jährige Unternehmensgeschichte von OEDIV SecuSys stehen für Softwareentwicklung made in Germany.
Mit Sicherheitsaudit zukunftsstarkes Fundament legen
„Neben mittelständischen Unternehmen der DACH-Region profitieren zunehmend auch Unternehmen der Kritischen Infrastrukturen sowie Unternehmen im besonderen öffentlichen Interesse von unserer gebündelten Branchenexpertise und unseren hohen, zertifizierten Qualitäts- und Sicherheitsstandards. Wir unterstützen bei der Bestandsaufnahme, Positionsbestimmung und KRITIS-konformen Umsetzung“, so Fabian Neumann: „Unsere Bandbreite reicht von IT Security Assessments und tiefreichendem Consulting über die eigene Software SecuIAM bis hin zu Managed Services in unseren zertifizierten Rechenzentren. Vor dem Hintergrund deutlich niedriger KRITIS-Schwellenwerte empfehlen wir allen Unternehmen der Kritischen Infrastruktur, jetzt aktiv zu werden. Zu diesem Zweck haben wir unter https://www.secusys.de/it-sicherheit/ eine Seite rund um Cybersecurity eingerichtet, die gezielt die verschiedenen Aspekte der IT-Sicherheit darstellt und den Einstieg in das Thema erleichtert. Darüber hinaus stehen wir Unternehmen bei der Frage, inwieweit die veränderten Gesetzgebungen auch ihre IT-Sicherheitsprozesse betreffen und wo man am besten anfängt, beratend zur Seite.“
Deutliche Herabsetzung der KRITIS-Schwellenwerte
Das entscheidende Novum: Die Herabsetzung der Schwellenwerte erweitert deutlich den Kreis der von der Definition der Bundesressorts umfassten „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Nach Einschätzung des Bundesministeriums des Innern, für Bau und Heimat erhöht sich damit die Gesamtzahl der Betreiber Kritischer Infrastrukturen von ca. 1.600 auf ca. 1.870 Unternehmen, die den Vorgaben des BSI-Gesetzes und damit auch einer verschärften Investitionskontrolle unterliegen.
„In der Praxis bedeutet das, dass Unternehmen, die zuvor nicht betroffen waren, erheblich höhere Anforderungen an die IT-Sicherheit – etwa bei der Abwehr von Hackerangriffen – erfüllen müssen. Das Spektrum reicht von ca. 150 Stromerzeugern über ein Dutzend IT- und Telekommunikationsanbieter bis hin zu zahlreichen Betreibern intelligenter Verkehrssysteme, die durch die neuen legislativen Vorgaben vor zusätzlichen organisatorischen Herausforderungen stehen. Beispielsweise werden nunmehr auch Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind, als Anlagen im Sinne der Verordnung definiert. Schnelles Handeln ist daher geboten, um auch weiterhin rechts- und investitionssicher agieren zu können“, erläutert Fabian Neumann, Geschäftsführer OEDIV SecuSys GmbH.
Schnellstmögliche Bestandsaufnahme und GAP-Analyse empfohlen
Unternehmen, die unter die neue KRITIS-Verordnung fallen, sollten umgehend eine Bestandsaufnahme und GAP-Analyse durchführen, um mögliche Lücken zwischen dem Ist- und dem Soll-Zustand detailliert zu erfassen und zu bewerten, so die Empfehlung des TÜV Rheinland.
Neumann verweist darauf, dass KRITIS-Projekte die gesamte Aufbau- und Ablauforganisation betreffen: „Das reicht vom Aufzeigen und Dokumentieren objektiver Risiken bis hin zu der Umsetzung entsprechender Sicherheitsmaßnahmen und einer zielgerichteten Kommunikation mit allen internen und externen Stakeholdern. In dieses Organisationsprojekt sollten von Anfang an alle Unternehmensbereiche integriert werden – flexibel, praxis- und bedarfsorientiert. Mit unserem langjährig aufgebauten Security-Know-how sind wir für unsere Kundenunternehmen der Trusted Advisor.“
Das Software-Angebot von OEDIV SecuSys ergänzt die Premium-Infrastrukturlösungen und Managed Services des Mutterunternehmens OEDIV Oetker Daten- und Informationsverarbeitung KG. Die Zugehörigkeit zur Oetker-Gruppe und die mehr als 20-jährige Unternehmensgeschichte von OEDIV SecuSys stehen für Softwareentwicklung made in Germany.
Mit Sicherheitsaudit zukunftsstarkes Fundament legen
„Neben mittelständischen Unternehmen der DACH-Region profitieren zunehmend auch Unternehmen der Kritischen Infrastrukturen sowie Unternehmen im besonderen öffentlichen Interesse von unserer gebündelten Branchenexpertise und unseren hohen, zertifizierten Qualitäts- und Sicherheitsstandards. Wir unterstützen bei der Bestandsaufnahme, Positionsbestimmung und KRITIS-konformen Umsetzung“, so Fabian Neumann: „Unsere Bandbreite reicht von IT Security Assessments und tiefreichendem Consulting über die eigene Software SecuIAM bis hin zu Managed Services in unseren zertifizierten Rechenzentren. Vor dem Hintergrund deutlich niedriger KRITIS-Schwellenwerte empfehlen wir allen Unternehmen der Kritischen Infrastruktur, jetzt aktiv zu werden. Zu diesem Zweck haben wir unter https://www.secusys.de/it-sicherheit/ eine Seite rund um Cybersecurity eingerichtet, die gezielt die verschiedenen Aspekte der IT-Sicherheit darstellt und den Einstieg in das Thema erleichtert. Darüber hinaus stehen wir Unternehmen bei der Frage, inwieweit die veränderten Gesetzgebungen auch ihre IT-Sicherheitsprozesse betreffen und wo man am besten anfängt, beratend zur Seite.“
