KRITIS 一词代表关键基础设施。提供电力、燃料和水等关键基础设施的公用事业对我们的社会至关重要。长期供应中断将严重危及社会稳定。
由于护理稳定性非常重要,因此国家制定了法律要求。 KRITIS 公司有义务采取有针对性的保护措施。不履行该义务的运营商将面临罚款。
必须采取综合措施,特别是在信息安全领域。联邦信息安全局(BSIG)的法律承认多种行政违法行为,最高可处以 200 万欧元的罚款。
什么是关键基础设施?
如果供应链中断或故障导致公共安全恶化,或预计会产生类似的严重后果,则该组织和机构被视为关键基础设施。
关键基础设施分为不同的行业和领域:
水
活力
营养
金融和保险
健康
信息技术和电信
城市垃圾处理
媒体与文化
国家和行政
运输和交通
公用事业是否被归类为关键基础设施必须由运营商主动检查。国家不会自动进行审查。相反,公司必须进行自我评估。 BSI 提供测试表以供识别。
危险和目标
由于 KRITIS 公司对社会具有重要意义,因此被视为攻击目标。袭击发生的频率比以前任何时候都高。这些主要是犯罪分子实施的网络攻击。他们最常见的目标是勒索钱财,例如通过使用勒索软件或加密受害者系统上的数据。
此类袭击被列为极其危险的袭击。当今公用事业环境中的 IT 结构通常非常全面且复杂,因此即使是来自外部的小规模干预也可能导致基础设施陷入停滞。
公用事业面临的威胁绝不仅限于网络攻击。事实上,它的含义要广泛得多:
自然灾害
干旱
地震
流行病、大流行病
强降雨、洪涝
暴风雨、龙卷风
人为威胁
网络攻击
战争
破坏
系统故障
恐怖主义
事故
保护义务有哪些?
由于关键基础设施故障和中断会造成严重后果,防措施。这意味着进行风险管理,即识别和评估风险,然后采取措施排除或降低相应的风险。
由于 KRITIS 公司对社会非常重要,因此有法律规定要求相应的组织和机构采取保护措施。这些规定植根于各项法律。其中哪些与个别供应商相关取决于多种因素,例如行业。关于关键基础设施保护的规定可以在《BSI 法案》中找到。
法律要求绝不限于采取安全措施的义务。在某些领域,例如信息安全,还有提供举证的义务。受 葡萄牙电报数据 影响的组织和机构有义务提供已采取措施的证据。例如,联邦信息安全办公室 (BSI) 要求定期提交有关认证和重新认证的证据。
信息安全
KRITIS 环境中的 IT 系统被视为关键信息结构。正如前面所指出的,它们的安全性(关键信息基础设施保护,简称CIIP)至关重要。
如果提供商致力于信息安全,就能够实现必要的保护。这样的决定代表了一种可持续的解决方案,将确保永久的高水平安全。这一战略的核心要素是:
ISMS:实施信息安全管理系统,采取整体方法并通过控制回路确保维护。
ISB:任命一名信息安全官员,负责处理关键问题,并可作为联系人。
认证:根据 BSI 基本保护进行的认证以及后续的重新认证证明了所达到的保护级别。
信息安全风险分析
风险分析是实现信息安全高水平保护的重要一步。这是一个多步骤的过程,用于识别可能危及关键系统和数据的潜在威胁和漏洞。识别和评估风险之后,可以制定适当的措施来最大限度地降低风险。
缺乏保险或保险不足会造成什么后果?
KRITIS 供应商有法律义务保护其设施和系统免受相关自然和人为危害。如果安全保障不充分或者完全缺失,则构成违规行为。根据地区和相关法律的不同,处罚可能会有所不同。信息安全领域的违法行为可能招致高达200万欧元的罚款