SCHUTZ VOR CYBERANGRIFFEN
Bank- und Versicherungsdienstleistungen gehören wegen ihrer Bedeutung für das Gemeinwesen zu den Kritischen Infrastrukturen. Anbieter müssen gemäß IT-Sicherheitsgesetz ab einem Schwellenwert die Sicherheit ihrer IT-Systeme durch eine Prüfung gemäß §8a (3) BSIG nachweisen.
Um die gesetzlichen IT-Sicherheitsanforderungen gemäß §8a BSIG zu erfüllen und einen Nachweis darüber zu erbringen, haben Sie mehrere Möglichkeiten. Spätestens Ende Juni 2019 müssen geeignete Maßnahmen umgesetzt sein und der Nachweis beim BSI vorliegen.
- Finanz- und Versicherungswesen
- KRITIS-Verordnung
- IT-Sicherheit für KRITIS
- Prüfkatalog §8a BSIG
Mit dem IT-Sicherheitsgesetz (BSIG) bzw. der KritisV zählen Banken, Börsen, Versicherungen und Finanzdienstleister zu den Kritischen Infrastrukturen (KRITIS). Laut § 7 KritisV soll die Versorgungssicherheit der IT-Systeme bei folgenden kritischen Dienstleistungen (kDL) verbessert werden:
- Bargeldversorgung
- kartengestützter Zahlungsverkehr
- konventioneller Zahlungsverkehr
- Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften
- Versicherungsdienstleistungen
Sobald gewisse Schwellenwerte (siehe Anhang 6 KritisV) überschritten werden, müssen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen, -Komponenten und -Prozessen getroffen werden. Die Erfüllung dieser Anforderungen ist gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen.
Für den Sektor Finanzen und Versicherungswesen läuft die Frist für die Nachweiserbringung Ende Juni 2019 ab.
- BSI-konformer Nachweis über die Erfüllung der Anforderungen aus dem IT-Sicherheitsgesetz
- gute Verknüpfungsmöglichkeit mit einer Zertifizierung gemäß ISO 27001 und dem Erlangen eines entsprechenden Zertifikats
- erhöhte Sicherheit Ihrer IT-Systeme, -Prozesse und -Komponenten durch Absicherung nach dem Stand der Technik
- verbesserte Versorgungssicherheit Ihrer kritischen Dienstleistung
Aufgrund unseres umfangreichen Netzwerks können wir Ihnen ein kompetentes Auditoren-Team zur Verfügung zu stellen.
Als KRITIS-Betreiber stehen Sie vor der Aufgabe, die gesetzlichen Anforderungen in zuverlässige und sichere Prozesse zu integrieren und dies dem BSI gegenüber nachzuweisen. Der Prüfungsablauf basiert auf der BSI Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG. Unser Angebot wird entsprechend diesen Vorgaben aufgebaut und mit Auditaufwänden versehen.
Aufgrund unserer Erfahrungen bieten wir Ihnen eine KRITIS-Prüfung im Rahmen eines zweistufigen Verfahrens. In Stufe 1 erfolgen insbesondere die Prüfung der Eignung des Scopes sowie die Abstimmung und Erstellung des Prüfplans. Die weiteren Prüfschritte erfolgen in der Stufe 2.
Abbildung: Orientierung zum relativen Zeitaufwand bei der Durchführung einer Prüfung als Nachweis der Umsetzung der Anforderungen § 8a (3) BSIG, Quelle:BSI
Im Falle einer erfolgreichen Prüfung erhalten Sie die entsprechenden Umsetzungsnachweise. Bei Interesse verknüpfen wir die Prüfung mit einer Zertifizierung gemäß ISO 27001. In diesem Fall erhalten Sie zusätzlich ein weltweit anerkanntes DQS-Zertifikat.
Die DQS ist anerkannte Prüfstelle und kann Ihnen die geforderten Kompetenzen (Auditkompetenz, spezielle Prüfverfahrenskompetenz, IT-Sicherheitskompetenz, Branchenkompetenz) für eine BSI-konforme Prüfung gem. § 8a (3) BSIG zur Verfügung stellen.
