Umsetzung Schutz kritischer Infrastrukturen Schweiz

leitfaden schutz kritischer infrastruktur schweiz, business continuity management, business continuity umsetzung

Nationale Strategie zum Schutz kritischer Infrastrukturen

Die Schweiz ist in grossem Masse auf ein möglichst kontinuierliches Funktionieren von kritischen Infrastrukturen (KI) angewiesen. Diese stellen die Verfügbarkeit von wichtigen Gütern und Dienstleistungen wie Energie, Kommunikation oder Verkehr sicher. Ausfälle von kritischen Infrastrukturen haben schwerwiegende Auswirkungen auf die Wirtschaft und die Bevölkerung und beeinträchtigen die Sicherheit und das Wohlergehen des Staates. Der Schutz kritischer Infrastrukturen (SKI) ist deshalb eine zentrale Aufgabe des staatlichen und betrieblichen Handelns.

Aus diesen Gründen ist es notwendig, mit der vorliegenden nationalen Strategie die Resilienz (Widerstandsfähigkeit) der Schweiz im Zusammenhang mit kritischen Infrastrukturen in umfassender Weise zu verstärken. Die Strategie bezeichnet dazu verschiedene Massnahmen in zwei Bereichen (Handlungsfeldern). Im Bereich der kritischen Infrastrukturen wird der Selbstschutz verbessert, indem die zuständigen Stellen integrale Schutzkonzepte erarbeiten und umsetzen. Darin werden infrastrukturspezifische Risiken identifiziert und reduziert.

 

Geltungsbereich und Bezeichnung der kritischen Infrastrukturen

kritis sektoren schweiz

Das Spektrum der kritischen Infrastrukturen gestaltet sich wie folgt:

Kritische Infrastrukturen sind Infrastrukturen, deren Störung, Ausfall oder Zerstörung gravierende Auswirkungen auf die Gesellschaft, die Wirtschaft und den Staat hat. Die kritischen Infrastrukturen werden in drei Ebenen unterteilt:

- Sektoren: z.B. Energie, Finanzen, Gesundheit
- Teilsektoren: z.B. Stromversorgung, Erdölversorgung, Erdgasversorgung
- (Einzel-)Objekte/Elemente: z.B. Leitstellen, Steuerungssysteme, Rechenzentren,
   Stauanlagen, Rohrleitungen, Betreiberfirmen

 

Absicht: Die Selbstverantwortung und öffentlich-private Zusammenarbeit stehen im Vordergrund

Massnahmen müssen sowohl von öffentlicher Seite als auch von Seiten der KI-Betreiber ergriffen werden. Da ein grosser Teil der kritischen Infrastrukturen von privaten Unternehmen betrieben wird, ist die eigenständige Verbesserung der Schutzmassnahmen von grosser Bedeutung. Die jeweils zuständigen Behörden sind aufgefordert zu überprüfen, ob dies ausreichend; gegebenenfalls sollen sie entsprechende Schutz- und Leistungsziele auf politischer Ebene festlegen. Der Schutz kritischer Infrastrukturen verlangt eine verstärkte Zusammenarbeit zwischen allen involvierten Akteuren (Behörden auf den Ebenen Bund, Kantone und Gemeinden sowie
Betreiber). Wo möglich, sollen Schutzmassnahmen gemeinsam erarbeitet und umgesetzt werden. Die öffentlich-private Zusammenarbeit ist in allen Bereichen des Schutzes kritischer Infrastrukturen zu prüfen, insbesondere bei baulichen Vorhaben (z.B. bei Neubauten von kritischen Infrastrukturen), bei der Erarbeitung von Richtlinien und Normen oder bezüglich des Informationsaustauschs.

 

Vorgehen Umsetzung kritische Infrastrukturen in der Schweiz

umsetzung kritis schweiz

Schritt 1:
Nach einer Phase der Vorbereitung, in welcher Zuständigkeiten geklärt, Kompetenzen verteilt und Aufträge eingeholt werden, erfolgt der iterative Prozess zur Verbesserung des Schutzes kritischer Infrastrukturen in drei weiteren Schritten:

Schritt 2:
Im zweiten Schritt, der Gefährungs- und Verwundbarkeitsanalyse, werden kritische Prozesse identifiziert und Gefährdungen analysiert, die zu einem Ausfall dieser Prozesse führen können. Anschliessend werden die daraus entstehenden Risiken ermittelt und miteinander verglichen.

Schritt 3:
Wie sicher ist sicher genug? Die Einhaltung der Compliance, die Schutzziele sowie die Bewertung der Risiken im Vergleich zu den zu tätigenden Investitionen werden bewertet und gegeneinander verglichen.

Schritt 4:
Dieser Schritt beinhaltet die Umsetzung der Massnahmen. Dabei wird aufgezeigt, wie die Massnahmen geplant, umgesetzt, begleitet und überwacht werden können.
Im weiteren wird das Monitoring, die Überprüfung und Verbesserung der Massnahmen durchgeführt. Damit sollen der Umsetzungsfortschritt und die Wirksamkeit der Massnahmen kontinuierlich beobachtet werden.

 

Wer kann Ihnen bei der Umsetzung von Sicherheitsfragen betreffend kritischen Infrastrukturen helfen?

Kontaktieren Sie die RM Risk Management AG, Security & Risk Consultants. Gerne besprechen wir mit Ihnen die Möglichkeiten.

 

Kritische Infrastruktursysteme sind gerade dann am meisten verwund- und angreifbar, wenn sich die verantwortlichen Betreiber vorwiegend auf die Lösung von technischen Schwierigkeiten konzentriert und für Ausfälle keinen getesteten Plan B haben und trainierte Einsatzteams haben (Business Continuity Management / Krisenmanagement). Es ist nicht eine Frage der Wahrscheinlichkeit sondern wann die kritischen Anlagen und Systeme angegriffen werden (Cyber Crime / Cyber Krisenmanagement).
Eugen Leibundgut, Partner RM Risk Management AG

 

Kritische Infrastruktursysteme - Umsetzung Deutschland

bsi kritis verordnung, kritische infrastruktursysteme

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)

Seit dem 03.05.16 ist im Bundesgesetzblatt der erste Teil der Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) veröffentlicht und in Kraft getreten. Die BSI-KritisV regelt, welche Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung unter das IT-Sicherheitsgesetz fallen.

Das Inkrafttreten der Verordnung wird für die Betreiber Kritischer Infrastrukturen Fristen in Gang setzen. Die Kritis-Verordnung wird zwar zu mehr Rechtssicherheit im Hinblick auf die Anwendbarkeit der Regelungen des BSI-Gesetzes (IT Sicherheitsgesetz) beitragen.

Der zweite Teil der KRITIS-Verordnung mit den Sektoren Finanzen, Transport und Verkehr sowie Gesundheit wird bis Anfang 2017 erwartet.

Bereits im Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten.

Wer kann Ihnen bei der Erarbeitung oder beim Testen von Business Continuity Management Herausforderungen im Zusammenhang mit kritischen Infrastruktursystemen helfen?
Kontaktieren Sie uns. Gerne besprechen wir mit Ihnen die Möglichkeiten.

Unternehmen sind gerade dann am meisten verwundbar, wenn sie sich vorwiegend auf die Lösung von technischen Schwierigkeiten konzentrieren, den Menschen und deren Fitnessgrad bei der Bewältigung von ausserordentlichen Ereignissen vergessen und für Ausfälle keinen getesteten Plan B haben.
Eugen Leibundgut, Partner RM Risk Management AG

nach oben