DQS im Dialog
DQS Website Abonnieren

IT-SiG 2.0 – Die wichtigsten Fragen und Antworten zur neuen Version

Strom, Wasser, Verkehr, Gesundheitsversorgung – alles ist IT-gesteuert und miteinander vernetzt. Die Digitalisierung ist die Zukunft, daran besteht kein Zweifel. Aber sie bietet auch Raum für physische und virtuelle Angriffe. Besonders anfällig sind so genannte Kritische Infrastrukturen (KRITIS), für die das im Jahr 2015 veröffentlichte IT-Sicherheitsgesetz (IT-SiG) angemessene Schutzmaßnahmen verlangt. Das IT-Sicherheitsgesetz 1.0 wurde weiterentwickelt und ein neuer Referentenentwurf in der Version IT-SiG 2.0 Mitte Dezember 2020 durch das Bundeskabinett beschlossen. In diesem Beitrag werfen wir einen Blick auf die aktuellen Veränderungen, die Einzug in das IT-Sicherheitsgesetz gehalten haben.
© iStock IT-SiG 2.0 Neues zum Referentenentwurf

IT-SiG 2.0 – auf einmal überschlägt es sich im Dezember 2020

Die Gefahr durch Cyber-Angriffe auf die öffentlichen Strukturen nimmt seit Jahren zu, die möglichen Folgeszenarien können besorgniserregend sein. Die Stromversorgung bricht zusammen oder es fließt kein Wasser mehr, es kommt zu einem Blackout, der uns alle betreffen kann. Als besonders bedroht sind beispielsweise Einrichtungen und Organisationen wie Krankenhäuser, Energieversorger, Finanz- oder Transportunternehmen anzusehen. Sie gelten unter der Bezeichnung „Kritische Infrastrukturen (KRITIS-Betreiber)“ als nachhaltig schützenswert.

Das IT-Sicherheitsgesetz 1.0 wurde weiterentwickelt und ein neuer Referentenentwurf in der Version IT-SiG 2.0 im März 2019 vorgelegt. Diese neue Version (IT-Sicherheitsgesetz 2.0) verfolgt einen ganzheitlichen Ansatz. Sie enthält Maßnahmen zum Schutz der Gesellschaft, zur Stärkung des Staates mittels Schutz der öffentlichen Informationstechnik und für eine widerstandsfähige Wirtschaft.

Seither warten nicht nur die KRITIS-Betreiber auf weitere Konkretisierungen sowie eine Verabschiedung des neuen Gesetzes. Im Dezember 2020 überschlugen sich die Ereignisse, als weitere, teils tiefgreifende Veränderungen in den Referentenentwurf eingearbeitet und innerhalb weniger Tage durch das Bundeskabinett beschlossen wurden. Dem Kabinettsbeschluss schließt sich das parlamentarische Verfahren an.

IT-SiG 2.0 – konkrete Änderungen im Überblick

Wie sehen also diese Veränderungen aus? Bei den folgenden Kernbestandteilen des IT-Sicherheitsgesetzes 2.0 gab es relevante Anpassungen:

  1. Es wurde ein neuer KRITIS-Sektor und neue Pflichten hinzugefügt.
  2. Die Kategorie „Unternehmen im besonderen öffentlichen Interesse“ ist ergänzt.
  3. Die Kompetenz und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurden ausgeweitet.
  4. Es wurde ein neues, freiwilliges IT-Sicherheitskennzeichen eingeführt.
  5. Die Bußgelder zur Nichteinhaltung des Gesetzes wurden angepasst.
  6. Es kam zu Klarstellungen im Bereich der kritischen Komponenten.

Im Folgenden beleuchten wir die Aspekte des neuen Referentenentwurfs näher, ebenso wie weitere ergänzende Informationen zum IT- Sicherheitsgesetzes 2.0.

IT-SiG 2.0 – neuer KRITIS-Sektor

Hinzugekommen ist der Sektor der Siedlungsabfallentsorgung. Das bedeutet, dass die Entsorgung vom Hausmüll, wie auch hausmüllähnlichen gewerblichen Abfällen nun als eine kritische Infrastruktur (KRITIS) angesehen wird. Demzufolge werden hier die gleichen Anforderungen an die Entsorgungsbetriebe und -unternehmen gestellt, wie es für die bisherigen Sektoren seine Gültigkeit hat.

KRITIS-Betreiber sind gesetzlich dazu verpflichtet, angemessene Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse nach dem neuesten „Stand der Technik“ umzusetzen. Es geht dabei um branchenübliche Maßnahmen bis hin zur nachhaltigen Implementierung geeigneter Strukturen in das Managementsystem, beispielsweise nach ISO 27001. Damit sollen sie unempfindlich gegenüber Störungen der Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität sein. Der Status Quo ist dem BSI in geeigneter Art und Weise alle zwei Jahre nachzuweisen. Für viele Organisationen keine leichte Aufgabe. Bei Nichterfüllung der gesetzlich geforderten IT-Sicherheitsstandards drohen im schlimmsten Fall Sanktionen. Zudem gibt es die Pflicht zur Registrierung mit der Benennung einer jederzeit erreichbaren Kontaktstelle gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI kann die Registrierung übrigens auch selbst vornehmen, wenn der KRITIS-Betreiber die Pflicht zur Registrierung nicht erfüllt.

Zertifizierte Informationssicherheit nach ISO 27001

Schützen Sie Ihre Informationen mit einem Managementsystem nach ISO 27001 ★ Die DQS bietet über 35 Jahre Erfahrung.

KRITIS-Betreiber: Wie kann der Nachweis erfolgen?

Grundsätzlich ist eine Vielzahl an Prüfgrundlagen möglich, sofern diese geeignet sind, die Erfüllung von § 8a Absatz 1 BSIG nachzuweisen: Sicherheitsaudits, Prüfungen oder Zertifizierungen. Ein möglicher Nachweis sind die sogenannten Branchenspezifische Sicherheitsstandards (B3S). Sie wurden von KRITIS-Betreibern und ihren Verbänden erarbeitet und bieten eine geeignete Orientierungshilfe zur Einhaltung der gesetzlich vorgeschriebenen Schutzmaßnahmen. Auch eine Zertifizierung gemäß der international anerkannten Norm für ein Informationssicherheits-Managementsystem ISO 27001 ist eine Möglichkeit. Dazu muss der Geltungsbereich von ISO 27001 die Kritische Infrastruktur bzw. die kritische Dienstleistung (kDL) vollständig umfassen. Außerdem wird der Informationssicherheitsprozess bzgl. der kritischen Dienstleistung mit der „KRITIS-Brille“ betrachtet. Dazu gehören unter anderem besondere Anforderungen der Vermeidung von Versorgungsengpässen für die Bevölkerung.

Wichtig ist allerdings, dass eine „prüfende Stelle“ wie die DQS über die geforderten Kompetenzen in den folgenden Bereichen verfügt:

  • spezielle Prüfverfahrenskompetenz für § 8a BSIG
  • Auditkompetenz
  • IT-Sicherheitskompetenz bzw. Informationssicherheits-Kompetenz
  • Branchenkompetenz
Kritis Alle Sektoren

KRITIS-Nachweis nach §8 BSI-Gesetz

Gerne stellen wir Ihnen alle geforderten Kompetenzen für eine BSI-konforme Prüfung zur Verfügung! Informieren Sie sich. Ganz unverbindlich und kostenfrei.

Wir freuen uns auf das Gespräch mit Ihnen

Die DQS ist vom BSI anerkannte Prüfstelle mit spezieller Prüfverfahrenskompetenz und akkreditierte Zertifizierungsstelle, u.a. für ISO 27001.

IT-SiG 2.0 – neue Pflichten in den KRITIS-Sektoren

Als neue Pflicht ist jene zum Einsatz von Systemen zur Angriffserkennung hervor zu heben. Zudem besteht für den KRITIS-Betreiber bei einer erheblichen Störung die Pflicht zur Herausgabe aller zur Bewältigung der Störung notwendigen Informationen. Dazu können auch personenbezogene Daten gehören, die dem Datenschutz unterliegen.

Das Energiewirtschaftsgesetz (EnWG) soll in den Absätzen 1d bis 1f §11 EnWG auf Basis des neuen IT-Sicherheitsgesetzes 2.0 ebenso den Einsatz von Angriffserkennungssystemen fordern. An den Sicherheitskatalogen ändert sich nichts.

Wenngleich diese neuen Pflichten durchaus nachvollziehbar sind, bedürfen sie dennoch einer kritischen Betrachtung. Systeme zur Angriffserkennung erzeugen nach wie vor noch eine Menge an Fehlalarmen. Um bei einem echten Alarm agieren zu können, sind die Systemmeldungen zeitnah auszuwerten und zu interpretieren. Hier wird, wie auch bei der täglichen Wartung und Pflege dieser Systeme, ein erheblicher Ressourcenbedarf zu berücksichtigen sein. Schauen wir in dem Zusammenhang noch auf SCADA*-Systeme, die primär in den Produktionsbetrieben zum Einsatz kommen, wird oft auf eine technische Nicht-Anwendbarkeit verwiesen.

* SCADA: Supervisory Control and Data Acquisition, also Überwachung, Steuerung und Datenerfassung

Bei der geforderten Herausgabe notwendiger Informationen zu den Störungen sollte das Risiko des „Single-Point of Information“ betrachtet werden. Alle Störungen und somit auch die ausgenutzten Schwachstellen, werden an einer zentralen Stelle gesammelt. Habe ich ein Interesse an derlei Informationen, habe ich damit auch nur noch ein Ziel. Dies ist ein nicht zu unterschätzendes Risiko.

Neue Kategorie: „Unternehmen im besonderen öffentlichen Interesse“

Diese neue Kategorie schließt nun folgende Unternehmen mit ein:

  • der Rüstungsindustrie,
  • mit besonderer volkswirtschaftlicher Bedeutung sowie
  • Unternehmen, die der Störfall-Verordnung (StöV) unterliegen.

Hervorzuheben ist die Pflicht zur Vorlage einer Selbsterklärung zur IT-Sicherheit in einem 2-Jahres-Rhythmus für Unternehmen der Rüstungsindustrie sowie jene mit besonderer volkswirtschaftlicher Bedeutung. Der Grund für die Aufnahme der Rüstungsindustrie ist aus Sicht des Gesetzgebers, dass ein Ausfall der Herstellungs- und Entwicklungstätigkeiten dieser Unternehmen wesentliche Sicherheitsinteressen der Bundesrepublik Deutschland gefährden könnte. Ebenso besteht für die Unternehmen die Pflicht zur sofortigen Störungsmeldung, wenn es zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Wertschöpfung gekommen ist oder noch kommen könnte.

Die bisher für alle KRITIS-Sektoren verpflichtende Registrierung beim BSI wurde für die unter die Störfall-Verordnung fallenden Unternehmen in eine freiwillige Registrierung überführt, um – so der Gesetzesentwurf – „ebenfalls vom vertrauensvollen Austausch profitieren zu können“. Für Unternehmen, die der StöV unterliegen, besteht die Pflicht zur unverzüglichen Meldung von Störungen, wenn diese zu einem Störfall gemäß StöV geführt haben oder noch führen könnten.

Wie immer gilt auch hier, dass manche neuen Begrifflichkeiten oder Formulierungen noch nicht genau bzw. abschließend spezifiziert sind. In den Runden der KRITIS-Experten wird aktuell eifrig über Abgrenzungen und Bedeutungen, auch juristisch, diskutiert.

Kontakt zur DQS

Gerne beantworten wir Ihre Fragen!

Als vom BSI anerkannte Prüfstelle informieren wir Sie gerne über die Möglichkeiten und den Aufwand einer Zertifizierung gemäß §8 BSIG.

Kontakt aufnehmen

IT-SiG 2.0 – Schwellenwerte bleiben unverändert

Über die Anpassungen bzw. Senkungen der bestehenden Schwellenwerte wird schon lange diskutiert. Auch gab es immer wieder Hinweise darauf, diese in den KRITIS-Verordnungen zu senken. Aktuell gibt es jedoch keine erkennbaren Motivationen zur Anpassung in den laufenden Diskussionen. Es bleibt daher spannend. Zumindest wäre eine Senkung aber ein nachvollziehbarer Schritt, um die Widerstandsfähigkeit der deutschen Unternehmen im gesellschaftlichen Interesse weiter zu stärken.

IT-SiG 2.0 – das BSI mit neuen Kompetenzen und Befugnissen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat im Zuge des IT-Sicherheitsgesetzes 2.0 erhebliche Ausweitung der Kompetenzen und Befugnisse erfahren.

  1. Das BSI soll künftig den „Stand der Technik“ für sicherheitstechnische Anforderungen an IT-Produkte definieren soll. Dies ist sicherlich zu begrüßen. In den letzten Jahren wurde die Frage nach dem „Stand der Technik“ immer kontrovers diskutiert, da die Antwort danach nicht immer eindeutig ist. Mit diesem Schritt kann es daher zu Klarstellungen kommen, was sehr wünschenswert ist.
  2. Weiterhin wird das BSI gemäß dem Cyber Security Act der EU zur nationalen Stelle für Cybersicherheitszertifizierungen gemacht. Die Befugnisse dazu haben sich nochmals deutlich erweitert. Dazu gehören u.a. das von Zertifizieren oder Konformitätsbewertungsstellen die Räumlichkeiten überprüft werden können. Ebenso kann das BSI von diesen Stellen und auch von Inhabern einer Konformitätserklärung oder Cybersicherheitszertifizierung notwendige Auskünfte und auch Unterstützung einfordern. Um diesem Kontrollmechanismus zu genügen, hat das BSI zudem das Recht erhalten, europäische Cybersicherheitszertifizierungen/ -zertifikate zu widerrufen.
  3. Neben der neu formulierten Definition zur allgemeinen Meldestelle für die IT-Sicherheit auf nationaler Ebene soll das BSI auch Sicherheitsrisiken detektieren dürfen. Der unter dem Pseudonym bekannt gewordene Hackerparagraf erlaubt dem BSI das „Angreifen“ von Unternehmen und Infrastrukturen, um anschließend Anforderungen zur Umsetzung (z.B. erforderliche technische und organisatorische Maßnahmen) zu geben. Die Ziele sind dabei nachvollziehbar: Schadprogramme, Sicherheitslücken oder mögliche Sicherheitsrisiken sollen proaktiv gefunden und eliminiert werden.
  4. Für Endanwender oder Endkunden sollte vor allem interessant sein, dass das BSI über sicherheitsrelevante IT-Eigenschaften von IT-Produkten informieren und auch warnen darf. Dazu darf es Untersuchungen der auf dem Markt bereitgestellten IT-Produkte und -Systeme durchführen. Das fördert sicherlich den Verbraucherschutz, haben sich viele IT-Produkte (u.a. diverse Smart-Home-Komponenten) doch als nützlich, allerdings auch als völlig unsicher und angreifbar in den letzten Jahren dargestellt.

IT-SiG 2.0 – das IT-Sicherheitskennzeichen

Mit dem IT-Sicherheitskennzeichen haben Hersteller nun eine freiwillige Möglichkeit, die Sicherheitseigenschaften ihres Produktes in einer Herstellererklärung dem BSI zu melden. Die Eignung der branchenspezifischen Sicherheitseigenschaften des Produktes wird durch das BSI selbst festgestellt. Eine weitere Voraussetzung bzw. Basis für eine Herstellererklärung muss eine Technische Richtlinie des BSI sein. Nach einem Antrag zur Nutzungsfreigabe kann einer Nutzung des IT-Sicherheitskennzeichens nur die negative Prüfung, die auch durch Dritte erfolgen kann, im Wege stehen. Das BSI prüft natürlich regelmäßig, ob die Vorgaben zum IT-Sicherheitskennzeichen eingehalten werden und spricht ggf. geeignete Maßnahmen bei einer Nichteinhaltung aus.

IT-SiG 2.0 – verschärfte Bußgelder

Das IT-Sicherheitsgesetz 2.0 hat bei den Bußgeldern (Ordnungswidrigkeiten) die Höchstbeträge in definierten Stufen (z.B. von 100 Tausend bis 2 Millionen Euro) klar festgelegt. Unter bestimmten Rahmenbedingungen kann eine Verzehnfachung des Maximalbetrages auf bis zu 20 Millionen Euro möglich sein. Wenngleich sich die konkrete Umsetzung noch zeigen wird, so hat sich doch schon in den ersten Jahren bei Nichteinhaltung von Fristen oder diverser Zuwiderhandlungen gezeigt, dass konsequent Bußgelder verhängt wurden.

Als Grund für die teilweise hohen Anpassungen der Bußgelderhöhen wird eine Harmonisierung mit anderen regulatorischen Vorgaben auf EU-Ebene genannt.

Zertifizierte Informationssicherheit nach ISO 27001

Schützen Sie Ihre Informationen mit einem Managementsystem nach ISO 27001 ★ Die DQS bietet über 35 Jahre Erfahrung.

IT-SiG 2.0 – Festschreibung der kritischen Komponenten

Grundsätzlich sind im Sinne des IT-SIG kritische Komponenten IT-Produkte, die in den Kritischen Infrastrukturen eingesetzt sind und deren sichere Funktion von hoher Bedeutung ist. Der Grund: Störungen dieser Komponenten können z.B. eine Gefährdung für die öffentliche Sicherheit darstellen.

Diese IT-Produkte sind im Sinne des IT-Sicherheitsgesetzes einzelne oder miteinander verbundene Hardwareprodukte sowie Softwareprodukte. Dabei kann es sich auch nur um eine als kritisch eingestufte Funktion des IT-Produktes handeln. Ferner soll diese Einstufung sektorspezifisch erfolgen. Um der Erfordernis einer gesetzlichen Bestimmung der IT-Produkte zu genügen, werden kritische Komponenten sektorspezifisch definiert.

Sobald ein IT-Produkt in einem Sektor als kritisch eingestuft wurde, ist dessen Einsatz durch den KRITIS-Betreiber gegenüber dem Bundesministerium des Inneren (BMI) vor dem Einbau bzw. Einsatz anzuzeigen. Spätestens hier kommt das BMI ins Spiel. Es kann dann an den KRITIS-Betreiber Anforderungen zum Einsatz oder eben auch zum Nicht-Einsatz stellen. Wichtig sind hier vor allem die Garantien oder die Vertrauenswürdigkeit des Herstellers, die hier hinterfragt werden. Dies schließt u.a. die Betrachtungen der gesamten Lieferkette für diese IT-Produkte ein.

Bekannt geworden sind diese Passagen im neuen IT-Sicherheitsgesetz 2.0 vor allem durch die Diskussion über den Ausbau des 5G-Netzes und dem damit verbundenen Einsatz von Huawei als Hersteller. Die Vertrauenswürdigkeit wurde hier grundsätzlich in Frage gestellt, da die eingesetzten Komponenten über technische Eigenschaften verfügen könnten, die missbräuchlich z.B. zur Spionage genutzt werden könnten.

IT-SiG 2.0 – Auswirkungen auf KRITIS-Betreiber

Gehören Sie zur neuen Kategorie der Unternehmen in besonderem öffentlichen Interesse, dann gelten für Sie die Fristen der Gesetzgebung ab der endgültigen Verabschiedung des IT-SiG 2.0. Dann müssen Sie in einer geeigneten Art und Weise alle 2 Jahre dem BSI die Umsetzung des Standes der Technik nachweisen. Dies erfolgt z.B. über den Nachweis einer durchgeführten KRITIS-Prüfung, auch in Verbindung mit einer Zertifizierung nach ISO 27001.

Für bestehende KRITIS-Betreiber ändert sich an den Fristen erst einmal nichts.

Im Laufe des letzten Jahres hat das BSI damit begonnen, bei Einreichung der erforderlichen KRITIS-Prüfungsergebnisse die Betreiber über Fristen für die nächsten Abgaben und somit auch erforderliche KRITIS-Prüfungen zu informieren. Diese gelten dann individuell für jeden KRITIS-Betreiber.

Die Implementierung von Systemen zur Angriffserkennung soll innerhalb von einem Jahr nach Inkrafttreten des neuen IT-Sicherheitsgesetztes durch die betroffenen Unternehmen umgesetzt werden. Aufgrund der Komplexität solcher Systeme, wie bereits beschrieben, ein sicherlich sportliches Unterfangen.

IT-SiG 2.0 – unser Fazit

Das übereilte Vorgehen im Dezember 2020, um das Gesetz schnellstmöglich durch das Bundeskabinett zu bekommen, ist nur einer von den großen Kritikpunkten aus den unterschiedlichen Branchen oder den Verbänden im Umfeld der IT-Sicherheit. Viele Anforderungen werden in diesen Diskussionen als nicht umsetzbar angesehen. Besonders dann, wenn es um nicht leistbare Bereitstellung von Ressourcen geht, wie z.B. bei der Angriffserkennung. Gerade in Verbindung mit der Erhöhung der Bußgelder ist es sicherlich erlaubt, dies kritisch zu hinterfragen. Vor allem die durch die Corona-Pandemie getroffenen Branchen, beispielhaft genannt nur die dramatische wirtschaftliche Situation in großen Teilen des Gesundheitswesens, lässt die Verpflichtung zu weiteren Investitionen aufhorchen.

Bei einer Superbehörde, die alle Informationen sammelt und auswertet, ist das Risiko eines möglichen Missbrauchs zu betrachten. Die Schwelle dazu ist durch weitgehende Befugnisse abgesenkt. Ebenso kritisch zu hinterfragen sind die Aspekte, die schlussendlich einen Single-Point of Information nach sich ziehen, da sie somit selber zu einem der exponiertesten Angriffsziele werden kann.

Dagegen steht der grundlegende Gedanke zur Sammlung von Informationen, die wieder allen KRITIS-Betreibern zugutekommen und damit auch das gesellschaftliche Interesse nach Sicherheit berücksichtigen.

Je mehr Informationen auswertbar sind, umso höher ist der Informationsgehalt, der zur Definition von vorbeugenden Schutzmaßnahmen den entscheidenden Vorsprung bei der Digitalisierung bringen kann. Das BSI kann dieser großen Verantwortung in Zukunft hoffentlich gerecht werden. Dem Industriestandort Deutschland und somit unserem Gemeinwesen ist es in jedem Fall zu wünschen.

Wie das Gesetzgebungsverfahren weitergeht und welche Stilblüten die ein oder andere Anpassung noch nach sich ziehen wird, wird sich zeigen. Wir halten Sie gerne auf dem Laufenden!

Zu den Autoren

Andreas Altena

Geschäftsführer der Sollence® GmbH, Berater, Trainer und DQS-Auditor. Kernkompetenzen: Organisationsentwicklung und integrierte Managementsysteme, Qualitäts-, Informationssicherheits-, Risiko- und (IT-)Servicemanagement.

Dr. Holger Grieb

Dr. Holger Grieb – Lead Consultant Management & IT der Ksi Consult Ltd. & Co. KG. DQS-Auditor, Berater und Trainer in den Kernbereichen integrierte Managementsysteme, Qualitäts-, Informationssicherheits- und (IT-)Servicemanagement.

BEI DER DQS IN GUTEN HÄNDEN

Das Gesetz zur Erhöhung der Sicherheit in der Informationstechnologie, kurz IT-Sicherheitsgesetz (IT-SIG) aus dem Jahr 2015 verpflichtet Betreiber Kritischer Infrastrukturen (KRITIS) alle zwei Jahre zum Nachweis von angemessene Vorkehrungen zur Vermeidung von Störungen der IT-Systeme, IT-Komponenten und IT-Prozesse gegenüber dem BSI (Bundesamt für die Sicherheit in der Informationstechnik). Unter „kritisch“ werden die informationstechnischen Systeme, Komponenten oder Prozesse verstanden, die für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen notwendig sind. Die zu ergreifenden Schutzmaßnahmen der Unternehmen müssen dem „Stand der Technik“ entsprechen.

Als Prüfgrundlage sind entweder anerkannte Normen, z.B. ISO 27001, oder alternativ Branchenspezifisch Sicherheitsstandards (B3S) zugelassen, die von KRITIS-Betreibern und ihren Verbänden erarbeitet wurden. Die DQS ist anerkannte Prüfstelle und akkreditierte Zertifizierungsstelle für zahlreiche IT-Sicherheitsstandards, u.a. für ISO 27001.

Audit DQS

Sie haben Fragen?

Gerne informieren wir Sie über die Möglichkeiten und den Aufwand einer entsprechenden Zertifizierung gemäß §8 BSI-Gesetz. Ganz unverbindlich und kostenfrei.

Wir freuen uns auf das Gespräch mit Ihnen

Die DQS GmbH wurde im Jahr 1985 als erste Zertifizierungsgesellschaft Deutschlands gegründet. Seit dieser Zeit zählen wir zu den führenden Auditspezialisten und Zertifizierern weltweit. Die Gründungsgesellschafter DGQ (Deutsche Gesellschaft für Qualität e.V.) und DIN (Deutsches Institut für Normung e.V.) sind wichtige Partner für die Aus- und Weiterbildung sowie die Normungsarbeit. So arbeiten wir aktiv für unsere Kunden in Ausschüssen und Gremien mit und bringen unser Expertenwissen in unsere Audits ein.