Der § 8a des BSIG ist derzeit in alle Munde. Ohne großes Aufsehen hat die Bundesregierung in den letzen Jahren auf die Absicherung der IT von kritischen Infrastrukturen – kurz KRITIS – hingearbeitet. Nachdem anfangs der Fokus auf der grundlegenden Versorgung der Bevölkerung mit Energie und Wasser lag, sind zwischenzeitlich auch Geldflüsse und Versicherungen an der Reihe.

Alle Unternehmen, die unter die Regelungen des § 8a fallen, haben die Verpflichtung sich selber beim BSI (Bundesamt für Sicherheit in der Informationstechnik) zu melden. Einzelnen Unternehmen fiel das recht spät auf. So hat die Süd IT AG in den letzten Monaten einem namhaften Versicherer geholfen, sich mit dem BSI abzustimmen und in kürzester Zeit den notwendigen Nachweis gemäß § 8 (a) 3 BSIG zu erbringen.

Peter Untermann von der AoQ führte das interne Audit durch. Eine außergewöhnliche Aufgabe, da die Branche noch keinen Branchenstandard – die Interpretation des § 8a für die Branche – vorgelegt hat. Es galt die zwischen TÜV Rheinland und BSI ausgehandelte Prüfgrundlage mit den Prüfaspekten der ISO 27001 zusammenbringen. An fünf intensiven Tagen konnte die interne Prüfung dann im Haus des Versicherers durchgeführt werden. Der ausgearbeitete Prüfplan wurde dann im externen Audit wiederverwendet.

Bild von Picography auf Pixabay