IT-Sicherheitsgesetz

IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz verlangt Unternehmen einiges ab.

Das IT-Sicherheitsgesetz verlangt Unternehmen einiges ab.

Das IT-Sicherheitsgesetz fordert umfassende Sicherheitsmaßnahmen. Gern nutzen wir unser Expertise und Erfahrung, um Sie in der Umsetzung zu unterstützen. Unsere IT-Sicherheit- und Branchenexperten helfen Ihnen bei allen relevanten Themen zum IT-Sicherheitsgesetz.

Betroffenheitsanalyse

Unternehmen sind grundsätzlich selbst dafür verantwortlich, zu evaluieren, ob sie als KRITIS-Betreiber gelten. Im Rahmen einer Betroffenheitsanalyse ermitteln wir gemeinsam mit Ihnen, ob Sie kritische Versorgungsdienstleistungen gemäß der Definitionen der BSI-Kritisverordnung erbringen und welche konkreten Prozesse und Anlagen Ihres Unternehmens zur Dienstleistungserbringung beitragen. Anhand der festgelegten Schwellwerte der Verordnung wird anschließend bewertet, ob die Anlagen als kritische Infrastruktur gelten.

So wird ersichtlich, ob Ihre Organisation die Anforderungen des IT-Sicherheitsgesetzes im Ganzen oder nur für einzelne Teile berücksichtigen muss. Die Betroffenheitsanalyse findet im Rahmen interaktiver Workshops statt und wird durch unsere IT-Sicherheitsexperten moderiert. Bei Bedarf binden wir auch weitere Branchen- und Wirtschaftsexperten von KPMG ein. Sie sind davon überzeugt, keine kritische Infrastruktur zu betreiben? Gerne unterstützen unsere Experten Sie bei der schriftlichen Ausarbeitung einer Begründung gegenüber den Behörden.

Branchenstandards

Das IT-Sicherheitsgesetz stellt KRITIS-Betreibern und ihren Branchenverbänden frei, branchenspezifische Sicherheitsstandards zu entwickeln und dem BSI vorzuschlagen. Grundlage hierfür können z. B. BSI IT-Grundschutz oder ISO 27001 sein. Neben diesen allgemeinen Standards existieren diverse sektorspezifische Empfehlungen, etwa ISO/IEC TR 27015 für den Finanzsektor oder ISO/IEC TR 27019 im Energiesektor. Gerne beraten wir Sie bei der Konsolidierung und Auswahl geeigneter technischer und organisatorischer Maßnahmen unter Berücksichtigung der jeweiligen branchenspezifischen Gegebenheiten. Auch unterstützen wir Sie bei der angemessenen Präsentation Ihrer Vorschlage gegenüber dem BSI.

Meldeorganisation

Die zeitnahe Meldung von Sicherheitsvorfällen mit möglichen oder tatsächlichen Auswirkungen auf kritische Versorgungsdienstleistungen bedingt die Gestaltung einer leistungsfähigen Meldeorganisation. In den vergangenen Jahren haben wir zahlreiche erfolgreiche Projekte im Bereich Computer Emergency Response Team (CERT), Security Operation Center (SOC) und Security Information and Event Management (SIEM) begleitet. Gern nutzen wir diese Expertise, um Sie bei der Implementierung von Methoden zur Erkennung von Sicherheitsvorfällen, etwa durch die Überwachung und Auswertung Ihrer Systeme und Netze, zu unterstützen. Wir zeigen Ihnen, wie Sie Risiken beurteilen, Vorfälle klassifizieren und angemessen darauf reagieren (Incident Response). Ein zentraler Bestandteil Ihrer Meldeorganisation ist dabei die Dokumentation von Vorfällen, Ihr Berichtswesen sowie die Meldung an das BSI. 

Sie verfügen bereits über entsprechende Prozesse? Gerne analysieren wir Ihre Prozesse auf Konformität hinsichtlich des IT-Sicherheitsgesetzes.

Sicherheitsorganisation (ISMS)

Insbesondere kleinere KRITIS-Betreiber sind auf ein bedarfsgerechtes und handhabbares Managementsystem für Informationssicherheit (ISMS) angewiesen. Dabei empfehlen wir die Ausrichtung des ISMS an anerkannten Standards wie ISO/IEC 27001 oder BSI IT-Grundschutz.

Unsere langjährige Erfahrung bei Aufbau und Einführung von ISMS ermöglicht es uns, Sie bei der gesetzeskonformen Umsetzung einer  Sicherheitsorganisation mit überschaubarem Aufwand zu unterstützen. Dabei helfen wir Ihnen auch, die notwendigen Regel- und Vorgabenwerke zu erstellen sowie ein IS-Risikomanagement aufzubauen. Im Rahmen der ISMS-Implementierung kann ebenfalls ein Pre-Audit des ISMS erfolgen, um Sie frühzeitig auf eine zeitnahe Zertifizierung vorzubereiten und doppelten Aufwand zu vermeiden.

Zertifizierung

Um Ihren zeitlichen Aufwand bei der Zertifizierung zu minimieren, bieten wir gemeinsam mit der KPMG Cert GmbH als akkreditierte Zertifizierungs- und Prüfungsgesellschaft die Zertifizierung Ihres ISMS nach ISO/IEC 27001 an. Selbstverständlich berücksichtigen wir dabei auch branchenspezifische Standards, in der Energiewirtschaft beispielsweise ISO/IEC TR 27019 und den IT-Sicherheitskatalog der BNetzA.

Forensische Vorfallsanalyse

Eine fundierte Analyse von Sicherheitsvorfällen ermöglicht Ihnen die Identifizierung von Schwachstellen in Ihren Prozessen und Kontrollen. Auch können unternehmensschädigende und dolose Handlungen interner oder externer Personen aufgedeckt werden. Sie benötigen Unterstützung bei der Aufarbeitung und Analyse eines Sicherheitsvorfalls? Unsere Incident Response und Forensic Investigation Teams unterstützen Sie gerne bei Erstreaktion und -beurteilung, Eindämmung, Beweissicherung, Analyse, gerichtsverwertbarer Aufbereitung und Präsentation von Untersuchungsergebnissen.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

Zwei Schritte vor, einer zurück

Der Entwurf für das neue IT-Sicherheitsgesetz erinnert eher an ein großes Versprechen. Wie Cyberangriffe dadurch besser abgewehrt werden können, bleibt unklar.

 
Lesen Sie mehr

IT-Sicherheitsgesetz: Haben Sie was zu melden?

Das neue IT-Sicherheitsgesetz ist verabschiedet. Unsere Experten schätzen ein, was wir vom Gesetz erwarten können.

 
Lesen Sie mehr

Ansprechpartner

Cyber Security

Risiken managen kann nur, wer sie kennt.

 
Lesen Sie mehr

Wirtschaftskriminalität & e-Crime

Alles im Blick. Forensic. Einen Sprung voraus.

 
Lesen Sie mehr

Forensic Technology

Kaum ein Prozess in einem Unternehmen ist heute ohne den Einsatz von IT denkbar.

 
Lesen Sie mehr