Sicherheit mit Siegel
Die Rolle von Zertifizierungen in der Cyberwelt
Alexander Häußler, TÜV SÜD
(Titelbild: © AdobeStock | 579161922 | mediaparts)
Kurz und Bündig
Ob und auf welcher Basis die Cybersecurity eines Unternehmens zertifiziert wird, hängt von konkreten Anforderungen und Motiven ab. Eine freiwillige Zertifizierung ist sinnvoll, weil sie nachweislich die Cybersecurity von Unternehmen verbessert und das gegenüber Dritten dokumentiert. Dennoch bieten weder gesetzliche Vorgaben noch verpflichtende oder freiwillige Zertifizierungen einen absoluten Schutz vor Cyberangriffen.
Infobox
Betreiber kritischer Infrastrukturen (KRITIS) müssen nach § 8a BSIG [2] und dem IT-Sig. 2.0 [3] nachweisen, dass ihre Cybersecurity auf dem Stand der Technik ist und ein System zur Angriffserkennung (SzA) eingeführt ist. Auch Sicherheitsaudits, Prüfungen oder Zertifizierungen sind vorgesehen. Als KRITIS gelten zum Beispiel Energie- und Wasserversorger, Telekommunikationsanbieter, aber auch Finanzdienstleister, Versicherungen, Transportanbieter oder Gesundheitsunternehmen, sobald Betriebsstörungen mehr als 500.000 Menschen betreffen.
Der erforderliche Nachweis kann zum Beispiel anhand der vom BSI anerkannten „Branchenspezifischen Sicherheitsstandards“ (B3S) geführt werden. Strom- und Gasnetzbetreiber müssen sich hingegen nach dem IT-Sicherheitskatalog der Bundesnetzagentur zertifizieren lassen.
Hinzu kommen Auflagen aus neuen EU-Richtlinien wie NIS2, die Cybersecurity-Mindeststandards für Unternehmen festlegt, die in Europa tätig sind. Als Nachfolgerin der bestehenden NIS-Richtlinie vergrößert sie den Geltungsbereich und verschärft die Pflichten für Unternehmen. Bis Oktober 2024 muss die Bundesregierung die Vorgaben in ein nationales Gesetz überführen.