Gesetzliche Vorgaben stellen IT-Dienstleister auf den Prüfstand: KRITIS und NIS-2: Königsdisziplin für IT-Dienstleister und deren Rechenzentren
Neue Regeln für mehr Sicherheit! Die digitale Welt wird immer vernetzter, die Gefahren immer größer. Welche Auswirkungen hat die NIS-2-Richtlinie auf Unternehmen und worauf sollten KRITIS-Betreiber besonders achten?
– Advertorial –
Mit den zunehmenden Gefahren aus dem Internet verschärfen sich auch die gesetzlichen Vorschriften und Regularien für Betreiber kritischer Infrastrukturen (KRITIS). Seit dem Jahr 2023 müssen KRITIS-Betreiber beispielsweise Sicherheitsvorfälle in ihrem laufenden IT-Betrieb mit Systemen zur Angriffserkennung ausstatten, dokumentieren und unter gegebenen Umständen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die kommende NIS-2-Richtlinie wird zudem auch weitere Branchen und zunehmend auch kleinere Unternehmen mit entsprechender Wichtigkeit als kritische Infrastruktur einbeziehen. Damit werden der Schutz von kritischen Infrastrukturen und die NIS-2-Konformität für IT-Dienstleister und Rechenzentrumsbetreiber zur Königsdisziplin.
Mit harten Vorschriften für die IT-Infrastrukturen von Organisationen aus systemkritischen Branchensegmenten wie Energie und Wasserversorgung, Gesundheit, aber auch staatlichen Einrichtungen nimmt der Gesetzgeber unweigerlich auch IT-Dienstleister und Rechenzentrumsbetreiber in die Verantwortung: „Betreiber kritischer Infrastrukturen sind gesetzlich verpflichtet, stetig die Erfüllung und Umsetzung wirksamer und angemessener technischer und organisatorischer Maßnahmen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachzuweisen“, sagt Joachim Astel vom Nürnberger IT-Dienstleister und Rechenzentrumsbetreiber noris network AG. Der Anbieter hochsicherer Datacenter ist seit 2020 offiziell selbst Bestandteil der KRITIS.
Physischer und digitaler Schutz gehen Hand in Hand
Entsprechend dünn ist das Angebot an Anbietern, wenn es darum geht, KRITIS-Infrastrukturen vollumfänglich schützen und gleichzeitig die NIS-2-Vorgaben substanziell einhalten zu können – gerade Themen wie der physische Schutz vor Bedrohungen wie Einbruch oder Naturkatastrophen, Einrichtungen für IT-Sicherheit für alle Komponenten mit integriertem „Vulnerability & Patch Management“ sowie die bereits erwähnten Systeme zur Angriffserkennung wie SIEM und eine 24/7-Leitstelle, das „Security Operations Center“.
„Unser mehrstufiges Konzept auf allen Ebenen umfasst Sicherheit nicht nur auf der physikalischen Ebene, sondern berücksichtigt auch die IT-Systeme, OT-Systeme und die weiteren technischen Einrichtungen“, so Joachim Astel weiter. Das Rechenzentrum selbst umfasst einen vollständig abgeschirmten Außenbereich und enthält einen Zaun mit Übersteigschutz, Vereinzelung für Fahrzeuge, einen Sicherheitsdienst vor Ort sowie eine flächendeckende Videoüberwachung“, sagt Joachim Astel.
Im Innersten der Rechenzentren von noris network kommen Cages zum Schutz des IT-Bereichs mit biometrischer Zugangskontrolle und optionaler mehrfacher Personen- und Warenvereinzelung zum Einsatz. Die gesamten Gelände der Datacenter sind zudem hochgradig katastrophensicher gemäß Schutzklasse SK4 der EN 50600 konzipiert, während ein ausgeklügeltes Brandschutzkonzept auch im Branderkennungsfall einen unterbrechungsfreien Betrieb erlaubt. „noris network ist im Branchenarbeitskreis UP KRITIS engagiert, um bereits frühzeitig über Änderungen der Bedrohungslage informiert zu sein und aktiv an der Weiterentwicklung von KRITIS mitwirken zu können“, erklärt Joachim Astel.
Vertrauen durch Zertifizierung
Gleichzeitig müssen KRITIS-konforme Rechenzentren dafür geradestehen, dass die Zuverlässigkeit und Verfügbarkeit und somit die Business Continuity für systemkritische Einrichtungen jederzeit mithilfe von redundanten Systemen, Notstromversorgungen, IT- und OT-Systemen und natürlich durch Back-up- und Disaster-Recovery-Pläne gewährleistet ist.
Davon zeugen Zertifikate. Joachim Astel: „Ein Zertifikat nach KRITIS untermauert, dass ein Anbieter die gesetzlichen Anforderungen für die Sicherheit und den Schutz kritischer Infrastrukturen in Deutschland erfüllt. Dazu kommen bei uns weitere Zertifizierungen wie ISO 27001, ISO 20000, BSI-Grundschutz und viele mehr, um den Reifegrad der Organisation nach außen weiter zu unterstreichen.
Mehr Informationen zum Thema finden Sie auf der Webseite von noris network.
noris network AG
Thomas-Mann-Straße 16–20
90471 Nürnberg, Deutschland
Telefon: +49 911 9352-0
E-Mail: vertrieb@noris.de
www.noris.de