NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!
Hannelore Jorgowitz Studium der Volkswirtschaftslehre an der Universität Heidelberg Lead Expert Compliance EuroPriSe Legal Expert Certified Information Systems Auditor (CISA) Auditteamleiter für ISO 27001 Foundation Certificate in IT Service Management (ITIL) Foundation Certificate in Projects in Controlled Environments (PRINCE2) Lehrtätigkeit: Hochschule für Wirtschaft und Recht (HWR) Berlin 2
Das IT-Sicherheitsgesetz Warum überhaupt? 3
Digitale Angriffe 4
Digitale Angriffe 5
Schäden durch Cyber-Attacken 6
Das IT-Sicherheitsgesetz Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme 7
Sicherheit in der Informationstechnik Kritischer Infrastrukturen Betreiber Kritischer Infrastrukturen sind verpflichtet, [ ] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. ( 8a BSI-Gesetz, geändert durch Artikel 1 IT-Sicherheitsgesetz, 17. Juli 2015) 8
Pflichten für Betreiber Kritischer Infrastrukturen Die Erfüllung der Anforderungen muss dem BSI nach Veröffentlichung des IT-Sicherheitsgesetzes alle zwei Jahre nachgewiesen werden: Stand der Technik Angemessene Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit Nachweis über Sicherheitsaudits, Prüfungen, Zertifizierungen Übermittlung der Audit-, Prüfungs-, Zertifizierungsergebnisse, einschließlich der festgestellten Sicherheitsmängel an das BSI Das BSI kann Anforderungen an die Ausgestaltung und Durchführung der Audits, an die zu erstellenden Nachweise und an die prüfende Stelle festlegen. Definition der Kritischen Infrastrukturen über eine Rechtsverordnung des Bundesministeriums des Innern (in Arbeit). 9
Pflichten für Betreiber Kritischer Infrastrukturen Betreiben Kommunen kritische Infrastrukturen und könnten sie demnach vom IT- Sicherheitsgesetz betroffen sein? 10 PERSICON IT-Sicherheitsgesetz
Nationales IT-Sicherheitsgesetz? Uns als Kommune betrifft das doch nicht! oder doch? 11
Pflichten für Betreiber Kritischer Infrastrukturen: Spezialfall Energieversorger Anforderungen aus dem Energiewirtschaftsgesetz (Stand: 31. August 2015): Betrieb eines sicheren Energieversorgungsnetzes Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind Meldung erheblicher Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit an das BSI, gegebenenfalls unter Nennung des Betreibers Die BNetzA erstellt im Benehmen mit dem BSI einen Sicherheitskatalog und veröffentlicht diesen. 12
Pflichten für Betreiber Kritischer Infrastrukturen: Spezialfall Energieversorger Anforderungen aus dem IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz der BNetzA (Stand: August 2015): Schutzziele: Verfügbarkeit, Vertraulichkeit, Integrität Geltungsbereich: zentrale und dezentrale Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind Implementierung eines ISMS, das den Anforderungen der ISO 27001 und der ISO/IEC TR 27019 (DIN SPEC 27019) genügt. Relevante externe Dienstleister (Outsourcing) sind auf die Einhaltung der Anforderungen zu verpflichten. Zertifizierung auf der Grundlage von ISO 27001 Fristen für Mitteilungen an die BNetzA: Benennung Ansprechpartner IT-Sicherheit: 30.11.2015 Nachweis der Zertifizierung gemäß ISO 27001: 31.01.2018 13
Vielen Dank für Ihre Aufmerksamkeit hjorgowitz@persicon.com Friedrichstraße 100 10117 Berlin www.persicon.com 14