Whitepaper IT-Sicherheitsgesetz und wen es betrifft Umsetzungsstrategien zur Informationssicherheit für Wasserversorger und Abwasserentsorger 06/2015 Mit der Verabschiedung des IT-Sicherheitsgesetzes und weiterer flankierender Maßnahmen geht der Gesetzgeber nun im Rahmen seiner „digitalen Agenda“ notwendige Schritte zur gesetzlich verbindlichen Etablierung eines „Mindestniveaus an IT-Sicherheit“. Das am 12. Juni 2015 vom Bundestag verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) bringt für die Wasserwirtschaft neue Pflichten zur Erhöhung von Abwehrmaßnahmen, Nachweis- und Meldepflichten mit. Relevant für die kommunalen Trinkwasserversorger und Abwasserentsorger sind die Änderungen im Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BSIGesetz) als Teil des IT-Sicherheitsgesetzes. Die das ITSicherheitsgesetz konkretisierende Rechtsverordnung wird direkt nun unverzüglich von Branchenverbänden, wie z.B. dem Deutschen Verein des Gas- und Wasserfaches e.V. (DVGW) in Abstimmung mit dem Bundesamt für Informationssicherheit (BSI) als Aufsichtsbehörde erarbeitet. Experten aus dem Bereich Informationssicherheit rechnen fest damit, dass sich die Rechtsverordnung für die Wasserversorger und Abwasserentsorger an nationalen und internationalen Normen zur Informationssicherheit orientiert. Entsprechend der Vorgaben anderer Branchen, wie beispielsweise dem IT-Sicherheitskatalog der BNetzA für die Energieversorger, ist somit davon auszugehen, dass neben den Normen ISO/IEC 27001 und 27002 auch die Branchenspezifische Anforderungen sowie Elemente des IT-Grundschutzes in die Ausprägung des einzuführenden Informations-SicherheitsManagement-Systems (ISMS) einzubeziehen sind. Demnach sind die kommunalen Trinkwasserversorger und Abwasserentsorger verpflichtet, innerhalb von zwei Jahre nach Inkrafttreten der Verordnung angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer ITSysteme und Netzkomponenten zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen zur Wassererzeugung, -versorgung und –entsorgung maßgeblich sind. muss alle zwei Jahre durch Sicherheitsaudits und Überprüfungen nachgewiesen und dem BSI eine Aufstellung der zu diesem Zweck durchgeführten Maßnahmen einschließlich der dabei aufgedeckten Sicherheitsmängel und der wiederum dafür ergriffenen Maßnahmen übermittelt werden. Ferner muss nachgewiesen werden, dass kritische Assets bspw. im Rahmen der Erstellung eines Netzstrukturplans identifiziert und diese im Rahmen einer Schutzbedarfsanalyse bewertet wurden. Darüber hinaus nehmen auch Maßnahmen zur Angriffsprävention und –erkennung (z.B. SIEM), ein Business Continuity Management (BCM) sowie regelmäßige Notfallübungen eine zentrale Rolle ein. Weiterhin sieht das IT-Sicherheitsgesetz vor, dass dem BSI qualifizierte Warn- und Alarmierungskontakte zu benennen sind, über die der Betreiber kritischer Infrastrukturen jederzeit erreichbar ist (z.B. IT-Sicherheitsbeauftragter). Das BSI kann die Nichteinhaltung der Vorschriften des Gesetzes Bußgelder verhängen. So können nicht abgestellte Sicherheitsmängel, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur führen, mit bis zu 100.000 Euro sanktioniert werden. Die Verantwortung für die Ermittlung der relevanten Systeme liegt beim Betreiber der Netze– und Anlagen. Netz– und Anlagenbetreiber, die entsprechende Systeme und Komponenten an Dritte outgesourced haben, sind ebenfalls betroffen und für die Umsetzung und Einhaltung der regulatorischen Vorschriften beim Dienstleister verantwortlich. Die ISO/IEC 27001 definiert auch hierfür Anforderungen, was in solchen Fällen bspw. zwischen Auftraggeber und Auftragnehmer vertraglich zu regeln ist. Die Angemessenheit und Wirksamkeit der Maßnahmen zur kontinuierlichen Verbesserung der Informationssicherheit Das ISMS nach ISO/IEC 27001 verwendet das Plan-Do-Check-Act-Modell, um Informationssicherheit als fortlaufenden Prozess darzustellen. Das Bundesinnenministerium (BMI) erarbeitet parallel bereits die Rechtsverordnung, die das Gesetz und die kritischen Infrastrukturen konkretisiert (analog des IT Sicherheitskatalogs der BNetzA für EVU). Entscheidend dafür, ob Wasserversorger und Abwasserentsorger in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen, wird somit unter anderem die Anzahl der von Ihnen ver- bzw. entsorgten Einwohner und die im Einsatz befindlichen ITSysteme und Netzkomponenten sein. Aufgrund der engen zeitlichen Umsetzungsfristen, empfiehlt es sich bereits jetzt mit entsprechenden Vorbereitungen zu starten, um bei der Umsetzungsphase Zeit zu sparen. Die certigo GmbH hat auf Basis der langjährigen Erfahrungen ein auf die Wasserwirtschaft und die konkreten kommenden Vorschriften abgestimmtes modulares Lösungsmodell entwickelt. Die einzelnen vorformatierten Module bilden die Grundlage für die Verknüpfung zu einem ganzheitlichen Template unter Berücksichtigung sowohl der Individualität Ihres Unternehmens als auch der notwendigen Effizienz bei der Einführung und dem Betrieb eines ISMS. Dieses bietet durch Ihnen deutliche Kostenvorteile und somit die Basis eines betriebswirtschaftlichen Nutzens im Kontrast zur volkswirtschaftlichen Notwendigkeit der Umsetzung. Ergänzt um ein systematisiertes und erprobtes Vorgehensmodell zur Einführung eines ISMS erlaubt uns dies, trotz fehlender regulatorischer Vorgaben die Handlungsfelder zu identifizieren und Vorbereitende Maßnahmen zu treffen.. Zur Auswahl und Zusammenstellung des für Sie optimalen ISMS Templates starten Sie jetzt, bspw. mit unserem zwei tägigen Rapid Security Assessment, bei welchem wir mit Ihnen zusammen die relevanten Anlagen und Komponenten, Ihren bisherigen Informationssicherheit -Reifegrad (Gap-Analyse) ermitteln und Handlungsempfehlungen für die Umsetzung der Compliance-Anforderungen erarbeiten. Sie erhalten zudem eine detaillierte Aufwandsschätzung zur Herstellung der Konformität aller regulatorischen Vorgaben, gerne auch z.B. im Querverbund mit weiteren Sparten. certigo GmbH Dr. Guido Moritz und Jan Arfwedson Rapid Security Assessment für die Wasserwirtschaft Stellen Sie Ihre Informationssicherheit auf den Prüfstand Was wir für Sie tun Leitfadengeführte Interviews und Prüfung von ausgewählten Dokumenten zu den Bereichen: Übergreifende Aspekte und Prozesse, Infrastruktur, IT-Systeme, Netzte & Anwendungen Analyse relevanter Prozesse und Kontrollen Vor-Ort Begehung relevanter Gebäude und Räume Konformitätsabschätzung des Zustands zu Anforderungen nach ISO/IEC 27001 sowie BSI IT-Grundschutz und Compliance Anforderungen (IT-Sicherheitsgesetz, BSI-Gesetz) Erstellung eines Abschlussberichts; Auszeigen von Handlungsfeldern und —empfehlungen. Ihr Mehrwert Ganzheitliche Analyse der Informationssicherheit als Grundlage für Ihren wirtschaftlichen Erfolg Aufwandsabschätzung zur Herstellung der Konformität zu regulatorischen Anforderungen in Abhängigkeit der IT-Strategie Fokussierung auf geschäftsprozessorientierte und bedarfsgerechte Investition als Beitrag zur Risikominimierung certigo GmbH // Seestraße 11 // 63571 Gelnhausen // TEL +49 06051 916 752 900 // E-MAIL [email protected] // www.certigo.de
© Copyright 2025 ExpyDoc
