Aller au contenu

Audit KRITIS

  • Méthodologie IPG pour répondre aux exigences KRITIS
  • Contrôle des autorisations et des processus d'attribution
  • Passage réussi des audits KRITIS selon le paragraphe 8a (3) de la loi BSI
  en savoir plus

Audit KRITIS selon le paragraphe 8a (3) de la loi BSI Pour les exploitants d’infrastructures critiques au sens de la loi BSI, la méthodologie IPG normalisée sur la base du guide d’orientation B3S garantit la vérifiabilité.

L'approvisionnement doit être assuré

L'exploitant d'une infrastructure critique a essentiellement deux obligations:
a) éviter les perturbations en prenant les dispositions adéquates
b) signaler les perturbations majeures au BSI

L’objectif prioritaire étant d’assurer l’approvisionnement, les mesures prises doivent être évaluées non pas simplement en termes d’efficacité, mais en termes d’efficacité pour atteindre cet objectif prioritaire. Concrètement: "Les arrangements organisationnels et techniques sont appropriés si l'effort requis n'est pas disproportionné par rapport aux conséquences d'une défaillance ou d'une dégradation de l'infrastructure critique affectée."

Industry-specific security standards

Un audit KRITIS selon le paragraphe 8a (3) de la loi BSI examine ces dispositions dans le détail. Pour ce faire, le législateur a facilité l’octroi par les associations de l’industrie de directives (appelées «normes de sécurité spécifiques à l'industrie ou B3S»), qui avaient été approuvées par le BSI. Si une entreprise concernée met en œuvre ces directives et les examine tous les deux ans dans le cadre d'un audit interne, le législateur suppose que toutes les exigences sont remplies.

L'IPG garantit la vérifiabilité à l'aide de sa propre méthodologie, basée sur le guide d'orientation B3S du BSI, et prend en charge l'exécution des audits par des experts en informatique expérimentés et des auditeurs possédant des qualifications étendues selon le paragraphe 8a (3) de la loi BSI.

Utilisation

  • Méthodologie IPG pour des mesures techniques et organisationnelles appropriées
  • Garantie de passer les audits KRITIS sans problème
  • Développement des compétences du client en ce qui concerne la loi BSI

Nos prestations

La méthodologie IPG utilise trois éléments étroitement liés pour contrer les menaces:

  • Processus de gestion d'un SMSI adapté aux PME
  • Modélisation et automatisation des droits basés sur les rôles avec vérification des autorisations
  • Protection supplémentaire des secteurs avec des exigences de protection accrues ou élevées via une authentification à plusieurs facteurs, ainsi que surveillance et contrôle des accès privilégiés (employés propres ou tiers)

L'IPG dispose d'auditeurs internes dotés de la « compétence de procédure d'examen complémentaire selon le paragraphe 8a (3) de la loi BSI », qui préparent un audit KRITIS tous les deux ans et peuvent effectuer un audit conjoint avec l'entreprise concernée.

Publications sur le sujet KRITIS