Hintergrund:
Wie bereits durch das Schreiben „Bankaufsichtliche Anforderungen an die IT Kritischer Infrastrukturen“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Bundesanstalt für Finanzdienstleistungsaufsicht vom 3. August 2018 angekündigt, wurden die BAIT um das sogenannte KRITIS-Modul ergänzt. Dieses erläutert die zusätzlich zu berücksichtigenden Anforderungen für die Betreiber kritischer Infrastrukturen, die sich gleichzeitig an die BAIT halten müssen, um das KRITIS-Schutzziel – das Bewahren der Versorgungssicherheit der Gesellschaft – zu erreichen. Damit richtet sich dieser Artikel vor allem an Vorstände bzw. die Geschäftsführung, IT-Sicherheitsbeauftragte und Führungskräfte in der IT von KRITIS-Unternehmen.
Ist mein Unternehmen KRITIS?
Zu den KRITIS-Betreibern gehört laut BSI-Kritisverordnung (BSI-KritisV), wessen Einrichtung, Anlagen oder Teile davon einem bestimmten Sektor, z. B. dem Finanz- und Versicherungswesen, angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall/ihre Beeinträchtigung erhebliche Engpässe oder Gefährdungen für die öffentliche Sicherheit einträten. Gleichzeitig müssen die in § 7 Abs. 7 BSI-KritisV genannten Schwellenwerte erreicht oder überschritten werden.
Kritische Dienstleistungen im Bereich Finanzen sind:
- Bargeldversorgung
- Kartengestützter Zahlungsverkehr
- Konventioneller Kartenverkehr
- Verrechnung und Abwicklung von Wertpapier- und Derivategeschäften
Unternehmen, die als Betreiber einer kritischen Infrastruktur in Betracht kommen, müssen dies anhand der folgenden Fragen selbst überprüfen:
- Betreibt das Unternehmen eine kritische Dienstleistung im Sinne der BSI-KritisV?
- Betreibt das Unternehmen eine Anlage oder Teile davon gemäß BSI-KritisV, mit denen die kritische Dienstleistung erbracht wird?
- Erreicht oder überschreitet der Umfang, in dem die kritische Dienstleistung erbracht wird, die in der BSI-KritisV definierten spezifischen Schwellenwerte?
- Sollte das Unternehmen alle Fragen bejahen, so ist es als Betreiber qualifiziert und muss dies dem BSI durch die Benennung einer Kontaktstelle mitteilen.
Das neue Modul
Das neue KRITIS-Modul gilt gemeinsam mit den anderen Modulen der BAIT und den sonstigen einschlägigen bankaufsichtlichen Anforderungen in Bezug auf die Sicherstellung geeigneter Vorkehrungen zur Gewährleistung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationsverarbeitung.
Anforderungen
Die Betreiber kritischer Infrastrukturen müssen daher zunächst den Geltungsbereich der kritischen Infrastrukturen innerhalb des Informationsverbunds feststellen, eindeutig kennzeichnen und angemessen überwachen. Kritische Dienstleistungen sind ebenfalls in geeigneter Weise zu überwachen. Auswirkungen von Sicherheitsvorfällen sind zu bewerten.
Es gilt, geeignete technische und organisatorische Maßnahmen festzulegen und umzusetzen, um den Betrieb der kritischen Infrastrukturen zu gewährleisten bzw. die Risiken für den Betrieb der Dienstleistungen dem KRITIS-Standard entsprechend auf ein möglichst niedriges Niveau zu senken. Hierbei sollte sich an einschlägigen Standards und Konzepten der Hochverfügbarkeit orientiert werden, die dem aktuellen Stand der Technik entsprechen.
Das KRITIS-Schutzziel ist angefangen bei der Schutzbedarfsermittlung über die Regelung und Umsetzung geeigneter Maßnahmen bis hin zum regelmäßigen Testen passender Notfallversorgungsmaßnahmen stets zu berücksichtigen.
Beziehung zum BSIG
Die Beachtung der Anforderungen des BAIT-KRITIS-Moduls kann zur Erbringung eines Nachweises gemäß § 8a Abs. 3 BSIG im Rahmen der Jahresabschlussprüfung verwendet werden, sofern alle informationstechnischen Systeme, Komponenten oder Prozesse der kritischen Infrastrukturen in der Prüfung ganzheitlich abgedeckt sind.
Alternativ zum BAIT-Modul können die KRITIS-Betreiber auch unternehmenseigenen Ansätzen nachgehen oder branchenspezifische Sicherheitsstandards (B3S) nach § 8a Absatz 2 BSIG verfolgen. Für Nachweise nach § 8a Abs. 3 BSIG sind dann geeignete prüfende Stellen zu konsultieren.
Handlungsbedarf
- Prüfung der Anwendbarkeit (kritische Infrastrukturen gemäß BSI-KritisV)
- Geltungsbereich der kritischen Infrastrukturen festlegen und kennzeichnen
- Anforderungen der BAIT und sonstige aufsichtsrechtliche Anforderungen nachvollziehbar auf alle Komponenten und Bereiche der kritischen Dienstleistungen anwenden
- Kritische Dienstleistung angemessen bewachen und Auswirkungen von Sicherheitsvorfällen bewerten
Veröffentlicht in Allgemein, Campus4Business, Wirtschaftsprüfung