Betreiber kritischer Infrastrukturen KRITIS, sind seit dem 31. Januar 2018 dazu verpflichtet das von ihnen betriebene Informationssicherheitsmanagementsystem (ISMS) nach DIN ISO/IEC 27001 zu zertifizieren, um nachzuweisen, dass die Anforderungen zur Aufrechterhaltung der Informationssicherheit erfüllt werden.
Diese Internationale Norm wurde erarbeitet, um Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) festzulegen.
Die Einführung eines Informationssicherheitsmanagementsystems stellt für eine Organisation eine strategische Entscheidung dar. Die Erstellung und Umsetzung eines solchen Systems innerhalb einer Organisation richten sich nach deren Bedürfnissen und Zielen, den Sicherheitsanforderungen, den organisatorischen Abläufen sowie nach Größe und Struktur der Organisation. Es ist davon auszugehen, dass sich alle diese Einflussgrößen im Laufe der Zeit verändern.
Das Informationssicherheitsmanagementsystem wahrt die Vertraulichkeit, Integrität und Verfügbarkeit von Information unter Anwendung eines Risikomanagementprozesses und verleiht interessierten Parteien das Vertrauen in eine angemessene Steuerung von Risiken.
Es ist wichtig, dass das Informationssicherheitsmanagementsystem als Teil der Abläufe der Organisation in deren übergreifende Steuerungsstruktur integriert ist und die Informationssicherheit bereits bei der Konzeption von Prozessen, Informationssystemen und Maßnahmen berücksichtigt wird.
Es wird erwartet, dass die Umsetzung eines Sicherheitssystems (ISMS) entsprechend den Bedürfnissen der Organisation skaliert wird.
Zu dieser Norm reiht sich noch die IEC62443. Diese wiederum beschreibt einen gesamtheitlichen Ansatz der Cyber Security. Und dies bis auf die Komponenten-Ebene innerhalb der industriellen Automatisierung.
Aufgrund der stetig wachsenden Digitalisierung und der zugehörigen Konnektivität steigt auch zunehmend das Risiko des gewollten als auch ungewollten Missbrauchs auch im Bereich der Messtechnik:
All dies wird zudem durch das “Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 1.0)” als auch das “Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 -neues IT-Sicherheitsgesetz für eine moderne Cyber-Sicherheit)” nochmals unterstrichen
[Quelle: Deutsches Bundesamt für Sicherheit in der Informationstechnik; 09.08.2021].