Entsorgungsbranche zukünftig kritische Infrastruktur
Ein wichtiger Aspekt des neuen (und des aktuellen IT-Sicherheitsgesetzes) ist die Definition von kritischen Infrastrukturen. Kritische Infrastrukturen sind „Einrichtungen, Anlagen oder Teile davon, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind“. Die Corona-Pandemie zeigt, dass die Lebensmittel- und medizinische Versorgung dazu gehören aber auch Finanzinstitute und Energieversorgung werden zum Beispiel als kritische Infrastrukturen eingestuft. Mit dem neuen Entwurf wurde entschieden, dass auch die Siedlungsabfallentsorgungswirtschaft eine kritische Infrastruktur ist weil „[e]in Ausfall oder eine Beeinträchtigung dieser Dienstleistung (…) sowohl zu einem kurzfristigen Anstieg der Seuchengefahr als auch zu einer Verschmutzung der Umwelt mit gefährlichen Stoffen [führt].“
Anforderungen an kritische Infrastrukturen
Die Entsorgungsbranche ist seit langem Vorreiter bei der Digitalisierung Ihrer Prozesse, wichtig ist es, diese auch im Notfall aufrecht zu halten. Bei den bereits definierten kritischen Infrastrukturen wird dazu eine Risikobetrachtung der Informationssicherheit gemacht. Hier werden die digitale Hardware und Software aber auch die Ausstattung wie die Verkabelung und die Schlüsselverteilung zu den Schränken betrachtet. Die Risiken müssen im Rahmen der systematischen Betrachtung minimiert werden. Zudem muss die Technik ein Mindestmaß an Aktualität haben: den Stand der Technik. Jede Branche hat seinen eigenen Stand der Technik wenn es um die IT-Infrastruktur geht.
Im Falle eines Hackerangriffs, fordert das BSI Informationen zum Ausmaß ein. Deshalb sind Unternehmen aus der kritischen Infrastruktur verpflichtet Hackerangriffe dem BSI zu melden. Das BSI informiert seinerseits bei Bedarf zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung. Zur Kommunikation mit dem BSI müssen besagte Unternehmen deshalb eine Kontaktperson benennen, die als Ansprechpartner zur Verfügung steht.
Die systematische Betrachtung und die anschließende Minimierung der Risiken sowie die Modernisierung der IT-Infrastruktur auf den Stand der Technik werden bei den Branchen der kritischen Infrastrukturen zertifiziert. Entweder wird die existierende ISO 27001 (Informationssicherheitsmanagement) mit kleinen Anpassungen verwendet oder es wird ein branchenspezifischer Sicherheitsstandard (kurz: B3S) entwickelt. Viele B3S die aktuell im Einsatz sind, lehnen sich stark an den BSI IT-Grundschutz Standard an. Nachdem das BSI den B3S freigegeben hat, kann den B3S von Unternehmen aus der Branche angewendet werden.
Das Gesetz wird voraussichtlich erst später in diesem Jahr verabschiedet. Die für die Entsorgungsbranche spezifischen Regelungen müssen nach Verabschiedung des IT-SiG 2.0 noch in einer Verordnung spezifiziert werden. Es ist davon auszugehen, dass die Entsorgungsbranche, ähnlich wie die aktuelle kritische Infrastrukturen, ca. 2 Jahren für die Umsetzung der geforderten Maßnahmen haben wird.
Nichtdestotrotz ist es ratsam sich jetzt schon Gedanken über die eigene IT-Infrastruktur zu machen. Wird das Thema IT systematisch behandelt? Könnte man es teilweise in existierende Managementsysteme aufnehmen? Wie lange würde eine Aktualisierung des eigenen Netzwerkes dauern? Ist das notwendige Wissen vorhanden oder muss es eingekauft werden? Erfahrungen der con-net haben gezeigt, dass die Erstzertifizierungen von kritischen Infrastrukturen oft mit vielen und auch kritischen Abweichungen verbunden waren, etwas das mit der richtigen und rechtzeitigen Vorbereitung vermieden werden kann.
Bei Fragen können Sie das Seminar zum gleichen Thema besuchen:
Kritische Infrastrukturen in der Abfallwirtschaft
Selbstverständlich steht die con-net Ihnen auch gerne zur Verfügung:
info(at)con-net.org
+49 221 67 77 24-50