Nach dem Inkrafttreten des IT-Sicherheitsgesetzes im Jahr 2015, müssen Unternehmen kritischer Infrastrukturen veränderten Anforderungen gerecht werden. Es muss ein Mindeststandard an IT-Sicherheit eingehalten und erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. In unserem Anwenderforum im April 2016 wurde von Experten der Kritischen Infrastruktur ein Überblick über die wesentlichen Auswirkungen sowie Einblicke in die Umsetzungswirklichkeit vermittelt (Überblick über Gesetz und Kritische Infrastrukturen).
Abschließend stellte sich die Frage, wie nun die verschiedenen Anforderungen aus dem IT-Sicherheitsgesetz in einen unternehmensindividuellen Umsetzungsplan integriert werden können. Hierzu stellte die TTS zunächst das Konzept der branchenspezifischen Sicherheitskonzepte (B3S) vor. Eine adhoc Umfrage zeigte überraschend, dass die Orientierungshilfe zu den B3S hisher kaum bekannt war, und gerade diese enthält ja eine Vielzahl von Anforderungen, die auf die KRITIS-Unternehmen zukommen dürften. Bevor Unternehmen beginnen, die Anforderungen des IT-Sicherheitsgesetzes umzusetzen, muss erarbeitet werden, welche Prozesse, Anlagen und Systeme der Betreiber überhaupt betroffen sind. Dann erst ist zu ermitteln, in welchem Umfang und für welche Komponenten der „Stand der Technik“ umzusetzen ist.
