Vlog #9 IT-Sicherheit optimieren: Neue Richtlinien und Fristen

  

OSI Insights im Video-Blog

Zur Stärkung der IT-Sicherheit überarbeitet der Gesetzgeber regelmäßig Richtlinien, entwirft Neuregelungen und aktualisiert Umsetzungsfristen. Wie kommen Sie dabei sicher durch den Richtlinien-Dschungel?

Vor allem Betreiber Kritischer Infrastrukturen müssen darauf achten ihre technischen und organisatorischen Sicherheitsmaßnahmen auf den „Stand der Technik“ zu bringen. Ein entsprechender Nachweis alle zwei Jahre ist verpflichtend. Wichtige Zertifizierungen dabei sind die ISO 27001 und die ISO 27002. Auch in der EU hat der Gesetzgeber reagiert und weitere Vorschriften erlassen. So wurde die neue europäische NIS 2- Richtlinie zur Stärkung der Netzwerk- und Informationssicherheit verabschiedet und mit DORA ist eine spezielle Regelung für den Finanzsektor in Kraft getreten.

Im Gespräch: Slavko Mucic aus dem Sales und Matthias Reidans, tätig im Bereich Project Consulting Services bei Rosenberger OSI.

Im Fokus: KritisV, ISO 27001/27002, NIS-2 und der Digital Operational Resilience Act

  

Sie beschäftigen sich gerade intensiv mit der Verordnung des BSI zum Schutz Kritischer Infrastrukturen? Zu diesem Thema habe ich meinen Kollegen Matthias Reidans zu mir gebeten. Kannst du ein bisschen Licht ins Dunkel bringen, was die neuesten Entwicklungen angeht? 

Matthias Reidans: Das hoffe ich doch, dass uns das gelingt. Denn das Dickicht, der Dschungel nimmt zu. Der Gesetzgeber hat nachgelegt. Es gibt neue Fristen, neue Inhalte, neue Controls. Und auch ein neues DACH-Gesetz, was jetzt im Dezember 2022 im Entwurf veröffentlicht wurde. Hier wird auch noch einiges passieren. Das heißt auch die KRITIS-Verordnung wird sich ausdifferenzieren und auch an anderen Verordnungen orientieren. Sie haben auch den Cyber Resilience Act zum Beispiel, Cyber Security Act. Sie haben noch andere Verordnungen auf EU-Ebene, die dann auch national nochmal durchdekliniert wurden. Diese ganzen Verordnungen sind für sie relevant und eben die neuen Fristen.

Wie sehen die neuen Fristen genau aus? Was hat sich da getan?

Matthias Reidans: Also entscheidend denke ich ist, dass sich für Sie jetzt in Bezug auf KRITIS erstmal an der Tatsache, dass Sie alle 2 Jahre den Stand der Technik nachweisen müssen, nichts geändert hat. Bis auf den Sonderfall, wenn Sie eine Energieanlage betreiben. Die Bundesnetzagentur ist hierfür zuständig. Da gibt es ein hartes Datum, das ist Ende Q1 2024 für Energieanlagenbetreiber. Also, das hat sich an der Stelle geändert. Aber die ISO, auch die ISO 27001 / 002 sind für Sie relevant. Ein wichtiger Baustein auch beim Thema KRITIS. Und die ISO wurde jetzt auch in 2022 zweimal aktualisiert. Das heißt dort sind neue Fristen. Die laufen allerdings mit beiden ISOs dann für Sie, für den Februar 2024 in die Prüfung. Da müssen Sie sich vorbereiten.

Wie sieht dann das Zusammenspiel zwischen der NIS-2 und den ISO 27001 / 27002-Zertifizierungen aus?

Matthias Reidans: Ich möchte Ihnen Mal mit einer Metapher antworten. Stellen Sie sich vor Sie haben die NIS-2, so als Vorderachse. Und haben dann ihre Vorderachse in einem guten Zustand. Sie haben den TÜV vor sich. Und dann gehen Sie jetzt mit der Hinterachse, mit der ISO noch zusätzlich ins Rennen, bereiten sich auf die TÜV-Prüfung vor, kriegen Ihre Plakette, sind durch. Also, das heißt, es sind wichtige Bausteine, Elemente bei Ihrer KRITIS-Prüfung. Die NIS-2, sowohl als auch die ISO 27001.

Für den Finanzsektor kommt dann noch eine weitere Zertifizierung, DORA, dazu. Richtig?

Matthias Reidans: Ja, die DORA, auch wieder eine ganz neue Verordnung, der Digital Operational Resilience Act. Diese auch wieder auf EU-Ebene. Zunächst Mal quasi vorformuliert, aber national auch sehr, sehr wichtig hier für die Finanzbranche. Und diese DORA-Bestimmungen und die UP KRITIS – Sie wissen ja bei der KRITIS-Verordnung haben Sie auch den Finanzsektor mit eigenen Schwellwerten und Kategorien vor sich – die entsprechenden Controls sind noch nicht harmonisiert. Da muss man ein bisschen Geduld haben. Das werden wir dann sehen. In welcher Art und Weise sich das an der Stelle ausdifferenziert.

Weitere Infos zum Thema gesetzeskonform & sicher gemäß KRITIS-Verordnung finden Sie hier.

Zugehörige Artikel

Whitepaper

Grundlagen von Lichtlauf, Polarität und Codierung von Glasfasern

Polarität von Voll-Duplex & Halb-Duplex-Patchkabeln
Normierung der Polarität von LWL-Trunkverkabelung
Normierung der Polarität von MTP®/MPO Verkabelung

Mehr erfahren
Blog & Vlog

Fragen & Antworten rund um Kritische Infrastrukturen

Fragen & Antworten rund um KRITIS
Anforderungen & Zertifizierungen
Pflichten für Unternehmen & Dienstleister

Mehr erfahren
Blog & Vlog

Vlog #6 IT-Transformation: On Premises, Colocation oder Cloud?

OSI Insights im Video-Blog:
Die richtige Gewichtung finden.
Wie sieht ein ganzheitlicher Ansatz aus?

Mehr erfahren