KRITIS: Fristende 30. JUNI 2019

Am 30. Juni 2019 ist es soweit: Spätestens dann, zwei Jahre nach Inkrafttreten der Änderungsverordnung zum IT-Sicherheitsgesetz (IT-SiG), müssen Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) die sorgfältige, vollständige und fristgerechte Umsetzung der besagten angemessenen technischen und organisatorischen Vorkehrungen nachweisen.

Es wird also ernst, für die Branchen aus dem sogenannten zweiten Korb der BSI-KRITIS-Verordnung. Zum Status Quo der gesetzlich geforderten Umsetzung haben wir mit unserem Experten und DQS-Auditor Andreas Altena gesprochen.

 

Am 30. Juni 2019 wird es für KRITIS-Betreiber ernst.

Herr Altena, werden alle betroffenen Kliniken der Einhaltung der gesetzlichen Anforderungen bis zum Stichtag nachkommen?

Nein, nach meinem aktuellen Kenntnisstand werden es nicht vollumfänglich alle schaffen, aber ein Großteil der betroffenen KRITIS-Betreiber befinden sich auf einem guten Weg. Viele sind ihren Verpflichtungen bereits nachkommen, was aktuell diverse Veröffentlichungen in der Presse zeigen. Inwieweit allerdings die Umsetzung den gesetzlichen Anforderungen entspricht, ist eine andere Frage. Die bisherigen Erfahrungen zeigen schon jetzt eine große Spannweite im Grad der Umsetzung. Damit meine ich sowohl die Qualität als auch die Effektivität der getroffenen Maßnahmen. Wie dies durch das BSI bewertet wird, bleibt abzuwarten.

 

Worauf führen Sie die unterschiedliche Umsetzung zurück?

Sicherlich hat dies mehrere Gründe. Allen voran sind die finanziellen und personellen Ressourcen in der Branche eine der größeren Herausforderungen. In meiner Praxis erlebe ich es immer wieder, dass in den IT-Bereichen über mehrere Jahre hinweg notwendige Investitionen ausgesetzt werden. In diesem Fall wird der gesetzlich geforderte Nachweis zum aktuellen „Stand der Technik“ nur schwer möglich sein. Auf der anderen Seite zeigen die Erkenntnisse aus zahlreichen Gesprächen, dass viele Organisationen den tatsächlich entstehenden Aufwand schlichtweg unterschätzen. Nicht ohne Grund haben wir als DQS bereits im Jahr 2017 unsere Kunden darauf hingewiesen, sofort mit der Implementierung zur Erfüllung der Anforderungen an KRITIS zu starten.

 

Wie kann ein BSI-konformer Nachweis erfolgen?

Grundsätzlich ist eine Vielzahl an Prüfgrundlagen möglich, sofern diese geeignet sind, die Erfüllung von § 8a Absatz 1 BSIG nachzuweisen. Ein gutes Referenzdokument ist der im April erschienene „B3S für die Gesundheitsversorgung im Krankenhaus“. Auch eine Verknüpfung mit einer Zertifizierung gemäß ISO 27001 ist eine Möglichkeit.

Wichtig ist allerdings, dass eine „prüfende Stelle“ wie die DQS über die geforderten Kompetenzen in den folgenden Bereichen verfügt:

  • spezielle Prüfverfahrenskompetenz für § 8a BSIG
  • Auditkompetenz
  • IT-Sicherheitskompetenz bzw. Informationssicherheits-Kompetenz
  • Branchenkompetenz

Die geforderten Kompetenzen können ggf. auch durch die geeignete Zusammenstellung eines Prüfteams mit der Abdeckung aller Kompetenzbereiche erzeugt werden. Leider musste der ein oder andere KRITIS-Betreiber bereits die schmerzliche Erfahrung machen, dass nicht jedes Prüfteam die entsprechenden Kompetenznachweise vorlegen kann. Und das sogar in bereits laufenden Prüfprozessen – das ist dann besonders ärgerlich!

 

Was passiert, wenn die Frist 30. Juni 2019 nicht eingehalten wird?

Eine Verlängerung der Nachweisfrist ist seitens der KRITIS-Betreiber prinzipiell möglich. Jedoch muss mit Sanktionen aufgrund des Verstoßes durch die nicht fristgerechte Nachweisführung gerechnet werden.

Bei einer Überschreitung der Frist ist der KRITIS-Betreiber aber weiterhin verpflichtet, den jeweiligen Sachverhalt ausführlich zu begründen und dem BSI umgehend darzulegen. Wichtig ist hierbei die Angabe guter und nachvollziehbarer Gründe für eine Fristüberschreitung. Weiterhin muss dem BSI bestätigt werden, dass die notwendigen Maßnahmen zur Erfüllung des § 8a BSIG (BSI-Gesetz) grundsätzlich umgesetzt werden. Und das zeitnah!

 

Was empfehlen Sie betroffenen KRITIS-Betreibern?

Zunächst einmal ist es wichtig, dem BSI einen konkreten Umsetzungsplan vorzulegen, in dem die notwendigen Maßnahmen dargelegt werden. Diese müssen verbindlich dazu führen, dass der geforderte Nachweis zeitnah erbracht werden kann. Dazu gehört auch der Beleg, dass der Betreiber sich bereits in Verhandlungen mit einer prüfenden Stelle wie der DQS befindet und ein konkreter Prüfungstermin in Aussicht steht (max. 2-3 Monate Verlängerungsfrist).

Hält sich eine Organisation nicht an den beschriebenen Prozess, können die zuständigen Aufsichtsbehörden weitere Sanktionen verhängen. Wir als DQS stellen selbstverständlich in gewohnter Art und Weise sicher, dass auch die Kompetenzen des Prüfteams in dem erforderlichen Umfang zur Verfügung stehen.

Unabhängig von den gesetzlichen Anforderungen sollte jedoch nicht unerwähnt bleiben, dass ich in zahlreichen Gesprächen mit Betreibern trotz der Komplexität und der erforderlichen Aufwände immer einen Mehrwert bei den Beteiligten erkannt habe. Mehrere Einrichtungen haben dies für sich als einen Start für weitere Projekte in diesem Umfeld identifiziert. Das unterstreicht durchaus meine Meinung, dass Informationssicherheit und Datenschutz nicht nur gesetzlich „verordnet“ werden kann, sondern auch ein richtungsweisender Beitrag zur Patientensicherheit ist – mit merklichem Benefit.

 

Fazit

So oder so: Verantwortungsvolle und zukunftsorientierte Unternehmen handeln umgehend!

Geschäftsführer der Sollence GmbH, langjähriger DQS-Auditor mit Kernkompetenzen in der Informationssicherheit und integrierten Managementsystemen

Andreas Altena

Geschäftsführer der Sollence GmbH, langjähriger DQS-Auditor mit Kernkompetenzen in der Informationssicherheit und integrierten Managementsystemen

Andreas Altena

Sie möchten mehr zum BSI-konformen
Nachweis erfahren?

Sprechen Sie mit uns