IT-Sicherheitsgesetz und Neuerungen durch IT-SiG 2.0
Herausforderungen und Entscheidungsbedarf für KRITIS Unternehmen
Ihr Nutzen:
In unserem eintägigen Seminar IT-Sicherheitsgesetz (IT-SiG) und Neuerungen durch IT-SiG 2.0 erhalten Sie eine Übersicht der aktuellen Anforderungen des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme. Dabei wird nicht nur die derzeit aktuelle Version betrachtet, sondern auch ein Ausblick auf zukünftige Entwicklungen (Referentenentwurf zum IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0) gegeben, die sich z. B. aufgrund aktueller Referentenentwürfe des Bundesministeriums des Innern, für Bau und Heimat für Überarbeitungen des Gesetzes abzeichnen.
Als Teil der Digitalen Agenda der Bundesregierung verankert das im Sommer 2015 in Kraft getretene IT-SiG Mindestanforderungen an die IT-Sicherheit für Institutionen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit bedeuten würden. Zu solchen sogenannten Betreibern Kritischer Infrastrukturen (KRITIS) gehören insbesondere Unternehmen aus den folgenden Branchen: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.
Die Anforderungen an diese KRITIS Unternehmen umfassen dabei z. B. die Umsetzung angemessener organisatorischer und technischer Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme, die Meldung erheblicher IT-Sicherheitsvorfälle und die Benennung eines IT-Sicherheitsbeauftragten bzw. die Einrichtung einer Kontaktstelle gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Die Überarbeitung zum IT-SiG 2.0 verfolgt einen ganzheitlichen Ansatz und enthält Maßnahmen zum Schutz der Bürger, zur Stärkung des Staates, zum Schutz der öffentlichen Informationstechnik und für eine informationstechnisch robuste Wirtschaft. Insbesondere werden die für die Betreiber Kritischer Infrastrukturen bestehenden Meldepflichten und Verpflichtungen zur Einhaltung der Mindeststandards für Informationssicherheit (auch auf weitere Teile der Wirtschaft) ausgeweitet.
Im Fokus des Seminars steht auch die Implementierung bis zur Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001:2013 und BSI IT-Grundschutz. Typische Fragestellungen aus der Praxis sowie mögliche Probleme im ISMS-Prozess für Betreiber kritischer Infrastrukturen werden diskutiert.
Teilnehmerkreis:
Personen in Unternehmen und Verwaltung, die im Sinne des IT-Sicherheitsgesetzes zu Betreibern Kritischer Infrastrukturen (KRITIS) zählen und für das Gemeinwesen von zentraler Bedeutung sind.
Inhalt:
Hintergründe zum IT-Sicherheitsgesetz -Umgang mit IT-Sicherheitsereignissen in der Vergangenheit -Themenspektrum des IT-Sicherheitsgesetzes und aktueller Stand -Überarbeitung des IT-Sicherheitsgesetzes (Referentenentwurf IT-SiG 2.0) -Betroffene Institutionen
Akteure im IT-SiG-Umfeld und deren Aufgaben -BSI als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik -Definition und Übersicht Kritischer Infrastrukturen (KRITIS) -Allgemeine Anforderungen an KRITIS-Betreiber -Konkrete Anforderungen am Beispiel der Energie- und TK-Branche -Der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) -Erfüllungsaufwand für Wirtschaft und Verwaltung -KRITIS-Kernkomponenten -Ganzheitlicher Ansatz (IT-SiG 2.0)
Informationssicherheitsmanagement -Aufgaben und Rollen im Sicherheitsprozess -Herausforderungen für den Informationssicherheitsbeauftragten in der Praxis -Kontinuierliche Verbesserung und Schaffung von Sicherheitsbewusstsein -Grundlagen: Anforderungs- und Risikomanagement -Notfallmanagement
Einführung in das IS-Management nach BSI IT-Grundschutz -Aufbau und Pflege eines ISMS nach BSI-Standard -Baustein-, Maßnahmen- und Gefährdungskataloge -Fragen zu Auditierung und Zertifizierung
IS-Management nach ISO 27001:2013 -Aufbau und Pflege eines ISMS nach ISO 27001 -Zuhilfenahme weiterer Standards der ISO-27000-Familie -Fragen zur Auditierung und Zertifizierung
Voraussetzungen:
Grundlegende Kenntnisse zur Informationssicherheit. Ein Verständnis der Vorgehensweise nach ISO 27001 oder IT-Grundschutz ist hilfreich, wird aber nicht zwingend vorausgesetzt.