Das IT-Sicherheitsgesetz – Fakten und Zahlen Das IT-Sicherheitsgesetz wurde im Juli 2015 veröffentlicht und ist ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Primäres Ziel ist der Schutz kritischer Infrastrukturen durch die Verbesserung der IT-Sicherheit bei Unternehmen. Als Artikelgesetz nimmt es Veränderungen z.B. am Telekommunikationsgesetz (TKG) oder BSI-Gesetz (BSIG) vor. Welche Auswirkung hat das IT-Sicherheitsgesetz auf die Gesetzgebung? Als Artikelgesetz verändert es bestehende Gesetze wie z.B. das BSI-Gesetz. Wer ist KRITIS-Betreiber? Die Definition erfolgt über Zugehörigkeit zu einem Sektor und der Bedeutung für die Gesellschaft. Sektoren Bedeutung Hohe Bedeutung für das Funktionieren des Gemeinwesens weil ein Ausfall bzw. eine Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit bedeutet. Die Kriterien und Schwellwerte für Betreiber kritischer Infrastrukturen werden in Rechtsverordnungen zum IT-Sicherheitsgesetz definiert (Veröffentlichung in 2016). Beispiele für Schwellenwerte Verarbeitung, Lagerung oder Umschlagen von ► 334.000 t Speisen oder Ernährung ► 274,5 Mio. l Getränken pro Jahr ► ► IT & Telko ► Betrieb einer Serverfarm mit 25.000 Instanzen (Ø) Ausgabe von 10.000 TLS Zertifikaten Versorgung von 100.000 Teilnehmern mit Telefonanschlüssen ► Energie ► Gasförderung, -speicherung oder Transport mit einer Energie von 5.190 GWh/Jahr Erzeugungsanlage mit einer Leistung von 420 Megawatt Wasser Gewinnung, Verteilung oder Aufbereitung von ► 21,9 Mio. m³ Wasser oder Abwasser pro Jahr Das IT-Sicherheitsgesetz EY Services Welche Anforderungen bestehen an KRITIS-Betreiber? Das IT-Sicherheitsgesetz beinhaltet insbesondere spezifische Anforderungen an KRITIS-Betreiber. Diese treten nach Konkretisierungen in den Rechtsverordnungen in Kraft. Die Rechtsverordnung für die ersten vier Sektoren (Energie, Ernährung, Wasser, IKT) tritt am 1.4.2016 in Kraft – die nachfolgende Rechtsverordnung für die anderen Sektoren ist für Q3/2016 vorgesehen. BSIG, § 8b Abs. 3-5 Meldepflichten u u Benennung Kontaktstelle Meldung erheblicher Sicherheitsvorfälle an das BSI IT-Sicherheitsstandards u u Angemessene organisatorische und technische Sicherheitsmaßnahmen nach Stand der Technik Branchenspezifische Sicherheitsstandards sind möglich BSIG, § 8a Abs. 3 Audits u BSIG, § 8a Abs. 1-2 Erfüllung der IT-Sicherheitsstandards ist alle zwei Jahre durch Audits, Prüfungen oder Zertifizierungen zu belegen Wie kann EY Sie dabei unterstützen? Alle Unternehmen der betroffenen Sektoren sollten frühzeitig die Auswirkungen des ITSicherheitsgesetztes analysieren, um den Handlungsbedarf zu bestimmen. EY unterstützt Sie dabei mit verschiedenen Services. Betroffenheitsanalyse ISMS SOC Wargaming Audits Meldewesen M ► Konkrete ► Sicherheits- ► Ertüchtigung ► Krisenfallbei- Betroffenheit feststellen ► Scoping / Geltungsbereich abgrenzen standards und -prozesse ► Etablierung Sicherheitsorganisation der Organisation zur Gefährdungs erkennung ► Angriffserkennung und –abwehr spiele und Analyse der „Crisis Response“ zur Analyse der Stärken / Schwächen ► IST-Analyse ► Vorbereitung des Sicherheitsniveaus ► Initiierung einer ISO 27001 Zertifizierung und Aufbau des Meldewesens ► Besetzung der Kontaktstelle (24/7) Ihre Ansprechpartner bei EY zum IT-Sicherheitsgesetz Ralph Schröder Uwe Hartenfeller Angelika Sievers Director, GSA Advisory Senior Manager, GSA Advisory Manager, GSA Advisory +49 160 939 13167 [email protected] +49 163 327 2729 [email protected] +49 160 939 16645 [email protected]
© Copyright 2024 ExpyDoc
