Zum Inhalt springen

KRITIS-Audit

  • IPG-Methodik zur Erfüllung von KRITIS-Anforderungen
  • Kontrolle über Berechtigungen und Vergabeprozesse
  • Erfolgreiche Durchführung von KRITIS-Audits nach §8a (3) BSI-Gesetz
  mehr erfahren

KRITIS-Audit nach §8a (3) BSI-Gesetz Für Betreiber kritischer Infrastrukturen nach BSI-Gesetz stellt die in Anlehnung an die Orientierungshilfe B3S standardisierte IPG-Methodik die Prüffähigkeit sicher.

Die Versorgung muss sichergestellt sein

Den Betreiber einer kritischen Infrastruktur treffen im Wesentlichen zwei Pflichten:
a) die Vermeidung von Störungen durch ausreichende Vorkehrungen
b) die Meldung von wesentlichen Störungen an das BSI

Das übergeordnete Ziel ist die Sicherstellung der Versorgung, daher sind getroffene Massnahmen nicht unter dem Gesichtspunkt der Wirtschaftlichkeit, sondern unter dem Gesichtspunkt der Effektivität bei der Erreichung dieses übergeordneten Ziels zu bewerten. Konkret: „Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht ausser Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Infrastruktur steht.“

Branchenspezifische Sicherheitsstandards

Ein KRITIS-Audit nach §8a (3) BSI-Gesetz überprüft genau diese Vorkehrungen. Dabei hat der Gesetzgeber erleichternd zugestanden, dass Branchenverbände Leitlinien (sog. „branchenspezifische Sicherheitsstandards (B3S)“) vorlegen und vom BSI genehmigen lassen. Setzt ein betroffenes Unternehmen diese Leitlinien um, und überprüft diese alle zwei Jahre in einem internen Audit, so geht der Gesetzgeber davon aus, dass damit alle Auflagen erfüllt sind.

Wir stellen durch unsere eigene, an der Orientierungshilfe B3S des BSI angelehnte, IPG-Methodik die Prüffähigkeit sicher und unterstützen durch erfahrene IT-Experten und Auditoren mit erweiterter Befähigung nach §8a (3) BSIG die Durchführung der Audits.

Nutzen

  • IPG-Methodik für angemessene Technische und Organisatorische Massnahmen
  • Gewährleistung problemloser KRITIS-Audits
  • Kompetenzerweiterung des Kunden in Fragen des BSIG

Unsere Leistungen

Die IPG-Methodik setzt drei eng miteinander verschränkte Elemente gegen Bedrohungen ein:

  • Managementprozesse auch für ein KMU angemessenes ISMS
  • Rollenbasierte Rechtemodellierung und Automation mit Berechtigungsprüfung
  • Ergänzende Absicherung der Bereiche mit erhöhtem oder hohem Schutzbedarf durch Mehrfaktor-Authentisierung sowie Überwachung und Steuerung privilegierter Zugriffe (eigener oder fremder Mitarbeitenden)

Wir verfügen über interne Auditoren mit „Zusätzlicher Prüfverfahrens-Kompetenz für § 8a (3) BSIG“, die alle zwei Jahre ein KRITIS-Audit vorbereiten und mit den betroffenen Unternehmen gemeinsam durchführen können.

Publikationen zum Thema KRITIS