Gesetzliche Vorgaben stellen IT-Dienstleister auf den Prüfstand: KRITIS und NIS2: Königsdisziplin für IT-Dienstleister und deren Rechenzentren
– Advertorial –
Mit zunehmenden Gefahren aus dem Internet verschärfen sich auch die gesetzlichen Vorschriften und Regularien für Betreiber von kritischen Einrichtungen. Seit dem Jahr 2023 müssen KRITIS-Betreiber beispielsweise Sicherheitsvorfälle in ihrem laufenden IT-Betrieb mit Systemen zur Angriffserkennung ausstatten, dokumentieren und unter gegebenen Umständen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die kommende NIS2-Richtlinie bezieht zudem auch weitere Branchen und auch zunehmend kleinere Unternehmen mit entsprechender Wichtigkeit als Kritische Infrastruktur ein. Damit werden der Schutz von Kritischen Infrastrukturen (KRITIS) und NIS2-Konformität für IT-Dienstleister und Rechenzentrumsbetreiber zur Königsdisziplin.
Mit harten Vorschriften für IT-Infrastrukturen von Organisationen aus systemkritischen Branchensegmenten wie Energie- und Wasserversorgung, Gesundheit, aber auch staatliche Einrichtungen nimmt der Gesetzgeber unweigerlich auch IT-Dienstleister und Rechenzentrumsbetreiber in die Verantwortung: „Betreiber Kritischer Infrastrukturen sind gesetzlich verpflichtet, stetig die Erfüllung und Umsetzung wirksamer und angemessener technischer und organisatorischer Maßnahmen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachzuweisen“, sagt Joachim Astel vom Nürnberger IT-Dienstleister und Rechenzentrumsbetreiber noris network AG. Der Anbieter hochsicherer Datacenter ist seit 2020 offiziell selbst Bestandteil der KRITIS.
Physischer und digitaler Schutz gehen Hand in Hand
Entsprechend dünn ist das Angebot an Anbietern, wenn es darum geht, KRITIS-Infrastrukturen vollumfänglich schützen und gleichzeitig substanziell NIS2-Vorgaben einhalten zu können. Gerade Themen wie physischer Schutz vor Bedrohungen wie Einbrüchen oder Naturkatastrophen, Einrichtungen für IT-Sicherheit aller Komponenten mit integriertem „Vulnerability & Patch Management“ sowie den bereits erwähnten Systemen zur Angriffserkennung wie SIEM und eine 24/7 Leitstelle, dem „Security Operations Center“. „Unser mehrstufiges Konzept auf allen Ebenen umfasst Sicherheit nicht nur auf physikalischer Ebene, sondern berücksichtigt auch die IT-Systeme, OT-Systeme und weiteren technischen Einrichtungen“, so Joachim Astel weiter. Das Rechenzentrum selbst umfasst einen vollständig abgeschirmten Außenbereich und enthält einen Zaun mit Übersteigschutz, Vereinzelung für Fahrzeuge, einen Sicherheitsdienst vor Ort sowie eine flächendeckende Videoüberwachung“, so Joachim Astel weiter.
Im Innersten der Rechenzentren von noris network kommen Cages zum Schutz des IT-Bereichs mit biometrischer Zugangskontrolle und einer optionalen mehrfachen Personen- und Warenvereinzelung zum Einsatz. Die gesamten Gelände der Datacenter sind zudem hochgradig katastrophensicher gemäß Schutzklasse SK4 der EN 50600 konzipiert, während ein ausgeklügeltes Brandschutzkonzept auch im Branderkennungsfall einen unterbrechungsfreien Betrieb erlaubt. „noris network ist im Branchenarbeitskreis UP KRITIS engagiert, um bereits frühzeitig über Änderungen der Bedrohungslage informiert zu sein und aktiv an der Weiterentwicklung von KRITIS mitwirken zu können“, erklärt Joachim Astel.
Vertrauen durch Zertifizierungen
Gleichzeitig müssen KRITIS-konforme Rechenzentren dafür geradestehen, dass die Zuverlässigkeit und Verfügbarkeit und somit die Business Continuity für systemkritische Einrichtungen jederzeit mit Hilfe von redundanten Systemen, Notstromversorgungen, den IT- und OT-Systeme, und natürlich für Backup- und Disaster-Recovery-Pläne gewährleistet ist. Davon zeugen Zertifikate. Joachim Astel: „Ein Zertifikat nach KRITIS untermauert, dass ein Anbieter die gesetzlichen Anforderungen für die Sicherheit und den Schutz Kritischer Infrastrukturen in Deutschland erfüllt. Dazu kommen bei uns weitere Zertifizierungen wie ISO 27001, ISO 20000, BSI-Grundschutz, und viele mehr, um den Reifegrad der Organisation nach außen weiter zu unterstreichen.“
noris network AG, Thomas-Mann-Straße 16 – 20, 90471 Nürnberg, Deutschland
Telefon: +49 911 9352-0, E-Mail: vertrieb@noris.de,
www.noris.de