Im Mai dieses Jahres wurde der neue Referentenentwurf für das IT-Sicherheitsgesetz 2.0 öffentlich und belebte die Diskussion um das Sicherheitsgesetz erneut.

In diesem Zusammenhang hat das BSI das Dokument „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen” publiziert, das KRITIS-Betreibern Orientierung und Hilfestellung geben soll. Das Dokument finden Sie hier –>

In 12 Kapiteln werden dabei 100 Anforderungen definiert, die sich deutlich an den Controls der ISO 27001 anlehnen.

  1. Informationssicherheitsmanagementsystem (ISMS)
  2. Asset Management
  3. Risikoanalysemethode
  4. Continuity Management
  5. Technische Informationssicherheit
  6. Personelle und organisatorische Sicherheit
  7. Bauliche/physische Sicherheit
  8. Vorfallserkennung und -bearbeitung
  9. Überprüfung im laufenden Betrieb
  10. Externe Informationsversorgung und Unterstützung
  11. Lieferanten, Dienstleister und Dritte
  12. Meldewesen

Insofern wurde neben den bereits bestehenden ISO 27001 Controls, den B3S-Anforderungen nunmehr ein weiterer Katalog mit Anforderungen an die Informationssicherheit veröffentlicht.

Jetzt denken Sie vielleicht: Oh je! Noch ein Maßnahmenkatalog.

Ja, noch ein Katalog und zwar mit deutlich fassbareren Anforderungen als in den bisherigen Dokumenten aufgeführt.

So wird z.B. im Abschnitt Risikoanalysemethode gefordert: Auch bei Outsourcing o. Ä. verbleibt die volle Verantwortung für eine geeignete Risikobehandlung beim Betreiber.

Eine interessante Forderung, die eindeutig auf die gelebte Praxis abzielt. Gibt es doch häufig Missverständnissse darüber, wer für die Daten verantwortlich ist. Insbesondere im Bereich der Medizin-IT bedarf es oft der Klarstellung.

Sie sollten sich deshalb unbedingt mit dem Anforderungskatalog auseinander setzen. Er gibt Ihnen konkrete Anforderungen an die Hand, mit denen Sie Ihr ISMS KRITIS-fähig gestalten können.

Wenn es für Sie interessant ist zu erfahren, wie Sie Ihre bisherigen ISO 27001- oder B3S-Anforderungen mit dem neuen Maßnahmenkatalog effizient verknüpfen können, dann sprechen Sie mich gerne an.