Digitale Geschäfts- und Dokumenten-Prozesse
Kritische Infrastrukturen (KRITIS)
Grundlage für KRITIS ist das seit Juli 2015 gültige Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Anders als die Anforderungen zum Schutz der Informationssicherheit, die aus Sicht der Unternehmen / Organisationen mittels BSI IT-Grundschutz oder ISO/IEC 27001 (sowie ergänzend der VOI PK-DML) analysiert und erfüllt werden können, stellt die KRITIS vor allem den Schutz der Bevölkerung in Bezug auf die Verfügbarkeit, Integrität und Vertraulichkeit zentraler digitaler Kritischen Infrastrukturen und IT-Systeme in der Bundesrepublik Deutschland in den Fokus. Dies betrifft unter anderem die Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation sowie Staat und Verwaltung.
Dabei sind Kritische Infrastrukturen (KRITIS) generell definiert als Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Gefahren für die Kritischen Infrastrukturen können sowohl natürlicher Art sein (z.B. Stürme, Hochwasser, Dürren, Erdbeben und Epidemien/Pandemien) als auch nicht-natürliche Vorkommnisse (z.B. Unfälle, Systemversagen, Sabotage, [digitaler] Terrorismus, Krieg oder Kriminalität).
KRITIS betrifft dabei alle informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der kritischen Infrastrukturen, insbesondere der kritischen Dienstleistungen (kDL) und Geschäftsprozesse, maßgeblich sind.
Zentral ist dabei die Erfüllung der KRITIS-Schutzziele, die beschreiben, welche Anforderungen an die qualitative und quantitative Versorgung mit der kritischen Dienstleistung („Mindestqualität“) gestellt werden. Grundlage ist dabei ist immer die Einhaltung des Stands der Technik.
Zur Erfüllung der KRITIS-Anforderungen können verschiedenste Normen- und Prüfkriterienkataloge herangezogen werden wobei die Erfüllung der IT-Grundschutz Anforderungen und / oder die Zertifizierung nach ISO/IEC 27001 eine gute Grundlage darstellen. Um den Fokus auf die Erfüllung der KRITIS-Schutzziele für die kritischen Dienstleistungen der Bevölkerung aber vollumfänglich zu erfüllen, reicht eine Abdeckung der Informationssicherheitsanforderungen durch die Organisation in den meisten Fällen nicht aus und es müssen die identifizierten kritischen Geschäftsprozesse / Verfahren gesondert analysiert werden. Hierbei können zusätzliche Verfahrensdokumentationen nach VOI PK-DML für die kDLs sinnvoll unterstützend eingesetzt werden.
Ereignisse wie die aktuelle Corona-Pandemie zeigen, dass auch kleine, mittelständische und Großunternehmen / Organisationen, die nicht gemäß BSI-KritisV verpflichtet sind, die KRITIS-Anforderungen zu erfüllen, von solchen Gefahren betroffen sein können und eine gezielte Analyse und Absicherung der eigenen kritischen Geschäftsprozesse im Sinne von KRITIS auch hier sehr sinnvoll sein kann, um in Zukunft, mittels kundenspezifischer Vorkehrungen besser für mögliche Gefahrenszenarien gewappnet zu sein.
In welcher Weise kann die Betrachtung von KRITIS Ihnen nutzen?
Ob Industrieunternehmen, öffentliche Einrichtungen, KMUs oder sonstige Organisationen, im oder über das Netzwerk des VOI finden Sie einen passenden Partner - Sprechen Sie uns an!
Ihr Ansprechpartner
Dr. Klaus-Peter Elpel
Consultec Dr. Ernst GmbH
Mitglied des Beirates im VOI
VOI Certified Expert (VCE)
IT-Compliance & Process Management
Zertifikat Nummer: Z2113003V