verhängt werden, sofern innerhalb von
sechs Monaten nach Inkrafttreten der
Rechtsverordnung keine Meldestelle gegenüber
dem BSI eingerichtet ist, zwei Jahre
nach Inkrafttreten der Rechtsverordnung
die IT nicht nach dem Stand der Technik abgesichert
ist oder im Falle von Sicherheitsmängeln
nicht alle Audit-, Prüfungs- oder
Zertifizierungsergebnisse an das BSI weitergeleitet
werden.
Worauf zu achten ist
Die Frist zur Umsetzung des IT-Sicherheitsgesetzes
für KRITIS-Unternehmen des
Sektors Ernährung ist bereits abgelaufen,
sodass der dokumentierte Nachweis einer
anforderungsgerechten Umsetzung der
geforderten Maßnahmen in organisatorischer
und technischer Hinsicht gegenüber
dem BSI abgegeben werden musste. Für
den Nachweis bedarf es einer dokumentierten
Prüfung gemäß § 8a (3) BSI-Gesetz
durch eine unabhängige und qualifizierte
Prüfstelle. Sie muss neben der speziellen
HST, 120 x 85 mm, Molkereiindustrie
Tel.: +49 38826 88780
www.hst-homogenizers.com
Homogenisatoren
und Anlagentechnik
Energiesparend, qualitätssicher
und fl exibel
Anzeige
HST.indd 1 15.01.18 08:10
7 2019 | moproweb.de 23
Abbildung 2: Aufgaben der KRITIS-Betreiber (Quelle: BSI)
Prüfverfahrenskompetenz auch Kompetenzen
in der Auditierung und Informationssicherheit
aufweisen. Zudem sind Erfahrungen
in den definierten KRITIS-Branchen
erforderlich. TÜV TRUST IT ist vom BSI als
solche Prüfstelle anerkannt.
Betrachtet werden durch die Prüfstelle
gemäß BSI-KritisV im Bereich Lebensmittelherstellung
und -behandlung die Anlagen
zur Herstellung, Behandlung und Distribution
von Lebensmitteln sowie Zentralen
für die standortübergreifende Steuerung.
Nach der BSI-Sektorstudie Ernährung sind
in der Lebensmittelproduktion Prozesse
für die Rohstoffgewinnung, Verwaltung
des Produktionsmaterials, der Produktion
sowie der Lagerung und Auslieferung zu
betrachten.
Grundsätzlich gibt das BSI-Gesetz für die
Prüfung allerdings keine faktische Prüfgrundlage
wie beispielsweise eine Norm vor.
Dennoch ist festgelegt, wie die Prüfgrundlage
gestaltet werden soll. Sie wird von der
prüfenden Stelle in Orientierung an den
Vorgaben des BSI festgelegt. Für die Prüfgrundlage
kann beispielsweise auf bestehende
Standards wie die Norm ISO 27001
oder den BSI IT-Grundschutz aufgesetzt
werden, eine native Zertifizierung nach ISO
27001 reicht aber nicht aus.
Gemäß BSI-Gesetz können allerdings
auch sogenannte Branchenspezifische
Sicherheitsstandards (B3S) definiert werden,
dies gilt demzufolge auch für die
Molkereiwirtschaft. Diese B3S sind dem BSI
vorzulegen und durch das BSI genehmigen
zu lassen. Existiert für eine Branche ein