SALE

KENNENLERN-

ANGEBOT MIT

FAST 50% PREISVORTEIL

Festpreisaudit für Neukunden

Vollständiges int. Audit nach ISO/IEC 27001 oder VDA ISA

Was Sie erhalten:

✓ 5 Personentage professionelle Auditierung

✓ 4,5 Tage fokussierte Interviews mit Ihren Fachbereichen

✓ 100% remote – keine Reise- und Zusatzkosten

✓ Umfassende Prüfung Ihres ISMS

✓ Detaillierter Auditbericht mit klaren Handlungsempfehlungen

✓ Exklusive Compliance-Bestätigung bei Erfolg

ℹ️ Mehr Infos

🛒 Angebot anfordern

Suche

Bußgelder für KRITIS-Betreiber

Marc Borgers
6. Aug. 2021
4 Min. Lesezeit

KRITIS, Prüfung, Nachweis, IT-Sicherheitsgesetz, IT-SiG, BSIG, Bußgeldvorschriften, Vorkehrung, angemessene organisatorische und technische Vorkehrungen, Stand der Technik, KRITIS-Betreiber, KRITIS-Prüfungen, § 14 Bußgeldvorschriften, § 8a BSIG, Audit, Konsequenzen, Beleg, kritische Dienstleistung, kDL, Bußgeld, IT-Sicherheitsgesetz 2.0, IT-SiG 2.0, vollständig, rechtzeitig, unvollständig, KRITIS-Prüfung, Bußgelder

Da ich während der KRITIS-Prüfungen immer wieder gefragt werde, ob es für Betreiber einer kritischen Dienstleistung im Kontext des §8a BSIG Bußgelder geben könnte, habe ich die mir bekannten Passagen (Stand 07.08.2021) einmal zusammengestellt.

Natürlich sind die bereitgestellten Informationen lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen.

Bitte lesen Sie immer den aktuellen sowie vollständigen Gesetzestext und bilden Sie sich auf dieser Basis Ihre eigene Meinung. Ich habe dafür die vom Bundesministerium der Justiz und für Verbraucher bereitgestellte Seite "Gesetze im Internet" (Linkdatum 07.08.2021) genutzt.

Vorkehrungen

	Absatz (1) 1 Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach § 10 Absatz 1 gelten, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. [...]
🟠 BSIG §14 Bußgeldvorschriften	Absatz (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig [...] 2 entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, [...]
🔴 BSIG §14 Bußgeldvorschriften	Absatz (5) 1 Die Ordnungswidrigkeit kann [...] in den Fällen der Absätze 1, 2 Nummer 2 und 3 mit einer Geldbuße bis zu einer Million Euro geahndet werden. [...]

Angemessene Vorkehrungen

Falls in diesem Kontext die Frage aufkommt, wie viel angemessene Maßnahmen kosten können und ab wann sie aus wirtschaftlichen Gründen vom KRITIS-Betreiber abgelehnt werden dürfen:

BSIG §8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen / Absatz (1) Satz 3

"Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht."

Eine weitere Konkretisierung bezüglich angemessener Vorkehrungen befindet sich im Kapitel 5.1.3.1 der vom BSI zur Verfügung gestellten "Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG" (Linkdatum 07.08.2021):

Umgang mit Risiken - Risikoakzeptanz

"Risiken im Geltungsbereich dürfen gemäß § 8a Absatz 1 BSIG nicht akzeptiert werden, sofern Sicherheitsvorkehrungen nach Stand der Technik möglich und angemessen sind. Erst für das dann noch verbleibende Restrisiko ist eine Risikoakzeptanz möglich."

In einer KRITIS-Prüfung muss dargelegt werden, wie diese Anforderungen in der Auswahl sowie Umsetzung der organisatorischen und technischen Vorkehrungen vom KRITIS-Betreiber berücksichtigt worden sind.

Nachweise

🔵 BSIG § 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen	Absatz (1) 1 Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach § 10 Absatz 1 gelten, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. 2 Dabei soll der Stand der Technik eingehalten werden. 3 Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. Absatz (1a) 1 Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. 2 Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. 3 Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. 4 Absatz 1 Satz 2 und 3 gilt entsprechend. [...]
🟢 BSIG §8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen	Absatz (3) 1 Betreiber Kritischer Infrastrukturen haben die Erfüllung der Anforderungen nach den Absätzen 1 und 1a spätestens zwei Jahre nach dem in Absatz 1 genannten Zeitpunkt und anschließend alle zwei Jahre dem Bundesamt nachzuweisen. [...]
🟠 BSIG §14 Bußgeldvorschriften	Absatz (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig [...] 3. entgegen §8a Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach §10 Absatz 1 Satz 1 einen Nachweis nicht oder nicht rechtzeitig erbringt, [...]
🔴 BSIG §14 Bußgeldvorschriften	Absatz (5) 1 Die Ordnungswidrigkeit kann [...] in den Fällen der Absätze 1, 2 Nummer 2 und 3 mit einer Geldbuße bis zu einer Million Euro geahndet werden. [...]

Lesetipp

Nachweis, KRITIS, Prüfung, IT-Sicherheitsgesetz, IT-SiG, BSIG, Bußgeldvorschriften, Vorkehrung, angemessene organisatorische und technische Vorkehrungen, Stand der Technik, KRITIS-Betreiber, KRITIS-Prüfungen, § 14 Bußgeldvorschriften, § 8a BSIG, Audit, Konsequenzen, Beleg, kritische Dienstleistung, kDL, Bußgeld, IT-Sicherheitsgesetz 2.0, IT-SiG 2.0, vollständig, rechtzeitig, unvollständig, KRITIS-Prüfung, Bußgelder

In der vom BSI bereitgestellten "Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG" (Linkdatum 07.08.2021), stehen Informationen bezüglich der zu erbringenden Nachweise zur Verfügung. Ferner werden in dem Dokument unteranderem die folgenden Fragen beantwortet:

Wie können KRITIS-Betreiber bei der Erfüllung der Nachweispflicht nach § 8a Absatz 3 BSIG vorgehen?
Welche Informationen sollten sie wem bereitstellen?
Welche Aufgaben haben prüfende Stellen?
Was sind geeignete prüfende Stellen?
Welche Aufgaben hat das Prüfteam und welche Kompetenzen sollte es besitzen?
Wie sollte die Prüfung durchgeführt werden (Prüfgrundlage, -themen, -methoden, Ergebnisse)?
Wie werden Nachweisdokumente eingereicht und welche Fristen gibt es zu beachten?

Ferner wird im Kapitel 5.1.3.1 der Orientierungshilfe ausführlich erklärt welche Rahmenbedingungen eingehalten werden müssen, wenn ein ISO 27001-Zertifikat als Nachweis genutzt werden soll.

Sie haben Fragen?

Wir sind im Chat 24x7x365 für Sie erreichbar.

ISMS-Aufbau mit kostenloser KI-Unterstützung

Stellen Sie sich vor: Ein mittelständisches Logistikunternehmen mit 470 Mitarbeitern und 50 Standorten steht unter Druck. Cyberrisiken bedrohen sensible Daten, Kunden fordern ISO 27001-Nachweise und der traditionelle Weg zur Zertifizierung droht mit Kosten von 60.000–120.000 € und 12–18 Monaten Aufwand. Doch dieses Unternehmen wagt einen neuen Ansatz – mit unseren kostenlosen KI-Tools der AUDIT MANUFAKTUR ⚫️⚫️🔴 und gezieltem Audit Coaching.

Wie? Unsere Tools – ISMS QuickCheckGPT, ISMS BeraterGPT und ISMS ScopingGPT – ersetzen teure Beratung, ermöglichen autarke Umsetzung und sparen somit über 50 % der Kosten. Ergänzt durch flexibles Coaching, erreicht das Unternehmen in nur 10 Monaten die ISO 27001-Zertifizierung – ein Meilenstein für Sicherheit, Kundenvertrauen und neue Geschäftschancen.

👉 Lesen Sie die volle Erfolgsgeschichte in unserem Blog-Artikel. Erfahren Sie, wie KI und Audit Coaching die den Aufbau eines ISMS vereinfachen können.

KUNDENMEINUNGEN

Martin Kerkmann via LinkedIn | EPLAN

Im Rahmen einer umfangreichen ISO 27001 Zertifizierung hat Herr Borgers uns im Rahmen eines Thirty Party Audit im Vorfeld der Zertifizierung entscheidende Empfehlungen gegeben, so dass wir direkt beim ersten Anlauf das Zertifizierungsaudit zur ISO 27001 erfolgreich bestanden haben.

Matthias Zeiss via LinkedIn | Stadtwerke Mainz Netze

Gerade ihre Expertise im Voraudit waren maßgeblich für die später erfolgreiche Zertifizierung nach IT-Sicherheitskatalog gemäß Bundesnetzagentur und ISO 27001.

Sorin Mustaca via LinkedIn | Endpoint Cybersecurity GmbH

Herr Borgers ist ein sehr professioneller, fairer und aufgeschlossener Auditor. Er hat viel Flexibilität und Freundlichkeit gezeigt, ohne Abzüge in Gründlichkeit und Fachwissen.

Andreas Kirchner via LinkedIn | SPIRIT ISD

Fachlich brillant, super normensicher und technisch sehr versiert & up-to-date. Er kommt schnell auf den Punkt, kombiniert Methodik mit technischem Tiefgang und bleibt dabei absolut angenehm im Umgang. Seine Audits bringen dem Kunden echten Mehrwert und sorgen für ein besseres Informationssicherheitsniveau.

Weitere