Gehen den Unternehmen die Zertifizierer aus?

Zertifizierung ISO 27001

Auf den Fluren von Energieversorgern, Banken und der Krankenhausverwaltung ist ISO 27001 dieser Tage zu einem gängigen Begriff geworden. Konkrete gesetzliche Vorgaben sind zwar in einigen Bereichen noch unklar, doch schon jetzt fürchten viele Unternehmen, im Endspurt keinen Zertifizierer mehr abzubekommen – und das ist nicht das einzige Personalproblem.

Verwandte Inhalte

IT-Sicherheitsgesetz: ISO 27001 Zertifizierung

Hinter ISO 27001 verbirgt sich der Standard, an dem sich Unternehmen typischerweise bei der Umsetzung des IT-Sicherheitsgesetzes orientieren. Das im Juli 2015 in Kraft getretene Gesetz fordert von Betreibern Kritischer Infrastrukturen (KRITIS) die Implementierung umfassender IT-Sicherheitsstandards.

Für einzelne Sektoren und Branchen ist das Gesetz bereits detaillierter ausgestaltet worden; so hat die Bundesnetzagentur (BNetzA) den IT-Sicherheitskatalog veröffentlicht, der konkrete, verpflichtende IT-Sicherheitsmaßnahmen für Strom- und Gasnetzbetreiber nennt.Kernforderung ist die Etablierung eines Informationssicherheitsmanagementsystems (ISMS) nach DIN ISO/IEC 27001 sowie dessen Zertifizierung bis zum 31. Januar 2018.

Inwieweit die ISO-Zertifizierung als Nachweis für die Einhaltung des IT-Sicherheitsgesetzes noch auf weitere Branchen ausgeweitet wird, ist bislang unklar.

Laut Sicherheitsexperte Wilhelm Dolle, der Mitte Februar auf den Strategietagen IT-Security in Schloss Bensberg zu diesem Thema vorgetragen hat, sehen sich bereits jetzt schon viele Unternehmen nach einem Zertifizierer um, weil sie befürchten, dass kurz vor Einführungspflicht viele Unternehmen schnelle Lösungen brauchen und es dann zu Engpässen kommen könnte.

„Branchenübergreifend merken wir gerade eine große Unsicherheit. Die Firmenlenker fragen sich, ob sie jetzt schon aktiv werden müssen bzw. wie lange sie noch abwarten können. Ich denke, dass die Frage nicht von ungefähr kommt, schließlich erleben wir gerade den Beginn eines regelrechten Ansturms. Das ist ja auch nur der richtige Schluss. Warum sollten die Unternehmen länger zögern, wenn sie in zwei Jahren die Zertifizierung sowieso vorhalten müssen“, sagt Wilhelm Dolle.

Wer soll’s machen?

Das externe Personal ist nur eine Baustelle, die Unternehmer umtreibt. Wie die Umfrageergebnisse des Cyber CEO Outlook 2015 zeigen, will die Mehrheit der Firmenlenker neue Mitarbeiter einstellen, um sich vor Attacken aus dem Netz zu schützen – allein in der KPMG-Umfrage hatten 89 von 125 Befragten angedeutet, dass sie auf Personalsuche sind. Der sogenannte „War for Talents“, also der Kampf um die besten Mitarbeiter, ist in vollem Gange.

„Es ist natürlich nicht mit einer Zertifizierung getan. Der Kampf um das beste Fachpersonal wird in den kommenden Jahren eher zunehmen, anstatt dass er abnimmt“, so Marko Vogel, Director im Bereich Cyber Security. Er stellt damit auf die Tatsache ab, dass sich die Unternehmen zwar der bedrohlichen Lage bewusst seien, viele jedoch noch nicht die Mannschaft zusammengestellt haben, die über das nötige Fachwissen verfügt, um Cyberattacken abzuwehren und falls erforderlich an den Regulator zu berichten.

Meldung machen und Standards setzen

Die Implementierung des IT-Sicherheitsgesetzes soll Unternehmen besser vor Angriffen aus dem Netz schützen. Die Betreiber von KRITIS werden durch das Gesetz dazu verpflichtet, Standards einzuführen und die Einhaltung nachzuweisen, z. B. durch eine ISO 27001-Zertifizierung. Auch müssen betroffene Unternehmen Sicherheitsvorfälle und Angriffe auf ihre Systeme melden.

Vogel prognostiziert, dass nicht nur KRITIS-Betreiber, sondern auch andere Unternehmen ihr Sicherheitsniveau verbessern wollen. Die Kosten und der Personalaufwand werden dann wohl noch steigen und der Personalengpass noch größer.

Fahrplan bis 2020

Das IT-Sicherheitsgesetz wird durch zusätzliche Rechtsverordnungen konkretisiert. Ein halbes Jahr nach Veröffentlichung der Rechtverordnung für den jeweiligen Sektor müssen betroffene Unternehmen Ansprechpartner benannt haben, an welche sich der Regulator bei Fragen oder Störungsfällen wenden kann. Zwei Jahre später müssen dann alle Betreiber die Einhaltung von Sicherheitsstandards und die konforme Meldung erheblicher Störung nachweisen können. Ab 2020 wird überprüft, wie gut das IT-Sicherheitsgesetz Unternehmen schützt. Ferner werden von den Unternehmen erste Nachweise über die Einhaltung der Sicherheitsstandards abverlangt.

Marko Vogel: „Schon heute fällt es Hochschulen schwer, den Bedarf sowohl an Ausbildern als auch an Auszubildenden zu decken. Insbesondere Unternehmen der 2. Reihe und Mittelständler tun sich schwer, Sicherheitspersonal zu finden und sollten sich gut überlegen, welche Dienstleistungen ausgelagert werden können, um sich auf die wesentlichen Bereiche konzentrieren zu können.“

Meldung machen und Standards setzen

Die Implementierung des IT-Sicherheitsgesetzes soll Unternehmen besser vor Angriffen aus dem Netz schützen. Die Betreiber von KRITIS werden durch das Gesetz dazu verpflichtet, Standards einzuführen und die Einhaltung nachzuweisen, z. B. durch eine ISO 27001-Zertifizierung. Auch müssen betroffene Unternehmen Sicherheitsvorfälle und Angriffe auf ihre Systeme melden.

Vogel prognostiziert, dass nicht nur KRITIS-Betreiber, sondern auch andere Unternehmen ihr Sicherheitsniveau verbessern wollen. Die Kosten und der Personalaufwand werden dann wohl noch steigen und der Personalengpass noch größer.

Fahrplan bis 2020

Das IT-Sicherheitsgesetz wird durch zusätzliche Rechtsverordnungen konkretisiert. Ein halbes Jahr nach Veröffentlichung der Rechtverordnung für den jeweiligen Sektor müssen betroffene Unternehmen Ansprechpartner benannt haben, an welche sich der Regulator bei Fragen oder Störungsfällen wenden kann. Zwei Jahre später müssen dann alle Betreiber die Einhaltung von Sicherheitsstandards und die konforme Meldung erheblicher Störung nachweisen können. Ab 2020 wird überprüft, wie gut das IT-Sicherheitsgesetz Unternehmen schützt. Ferner werden von den Unternehmen erste Nachweise über die Einhaltung der Sicherheitsstandards abverlangt.

Marko Vogel: „Schon heute fällt es Hochschulen schwer, den Bedarf sowohl an Ausbildern als auch an Auszubildenden zu decken. Insbesondere Unternehmen der 2. Reihe und Mittelständler tun sich schwer, Sicherheitspersonal zu finden und sollten sich gut überlegen, welche Dienstleistungen ausgelagert werden können, um sich auf die wesentlichen Bereiche konzentrieren zu können.“

Meldung machen und Standards setzen

Die Implementierung des IT-Sicherheitsgesetzes soll Unternehmen besser vor Angriffen aus dem Netz schützen. Die Betreiber von KRITIS werden durch das Gesetz dazu verpflichtet, Standards einzuführen und die Einhaltung nachzuweisen, z. B. durch eine ISO 27001-Zertifizierung. Auch müssen betroffene Unternehmen Sicherheitsvorfälle und Angriffe auf ihre Systeme melden.

Vogel prognostiziert, dass nicht nur KRITIS-Betreiber, sondern auch andere Unternehmen ihr Sicherheitsniveau verbessern wollen. Die Kosten und der Personalaufwand werden dann wohl noch steigen und der Personalengpass noch größer.

Fahrplan bis 2020

Das IT-Sicherheitsgesetz wird durch zusätzliche Rechtsverordnungen konkretisiert. Ein halbes Jahr nach Veröffentlichung der Rechtverordnung für den jeweiligen Sektor müssen betroffene Unternehmen Ansprechpartner benannt haben, an welche sich der Regulator bei Fragen oder Störungsfällen wenden kann. Zwei Jahre später müssen dann alle Betreiber die Einhaltung von Sicherheitsstandards und die konforme Meldung erheblicher Störung nachweisen können. Ab 2020 wird überprüft, wie gut das IT-Sicherheitsgesetz Unternehmen schützt. Ferner werden von den Unternehmen erste Nachweise über die Einhaltung der Sicherheitsstandards abverlangt.

Marko Vogel: „Schon heute fällt es Hochschulen schwer, den Bedarf sowohl an Ausbildern als auch an Auszubildenden zu decken. Insbesondere Unternehmen der 2. Reihe und Mittelständler tun sich schwer, Sicherheitspersonal zu finden und sollten sich gut überlegen, welche Dienstleistungen ausgelagert werden können, um sich auf die wesentlichen Bereiche konzentrieren zu können.“

IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz verlangt Unternehmen einiges ab.

 
Lesen Sie mehr

© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform