Beschreibung
Seit dem Inkrafttreten der KritisV müssen alle Unternehmen der betroffenen Sektoren regelmäßig prüfen, ob sie "KritisV-relevant" sind. Dazu müssen sie insbesondere untersuchen, ob sie in spezifischen, gesellschaftlich relevanten Geschäftsfeldern tätig sind, und falls ja, ob sie dort die von der KritisV gesetzten Schwellenwerte überschreiten. Ist das der Fall, werden sie als Teil der Kritischen Infrastruktur in Deutschland betrachtet und sind somit verpflichtet, die vorgesehenen Maßnahmen zur Informationssicherheit umzusetzen (u.a. Meldepflichten bei Vorfällen, sowie die Umsetzung sektorspezischer Sicherheitsstandards), und werden auch entsprechend von den Aufsichtsbehörden überprüft.
In diesem Workshop der Fachgruppe SECMGT wollen wir nun - ein bzw. zwei Jahren nach Inkrafttreten der KritisV - beleuchten, welche Erfahrungen Unternehmen aus einzelnen ausgewählten Sektoren im Umgang mit der KritisV gesammelt haben und wie der Status der Umsetzung ist. Sind die Herausforderungen und Lösungsansätze in diesen Sektoren gleich, oder gibt es Besonderheiten und sektorspezifischen Sicherheitsstandards, die zu berücksichtigen sind/waren?
Anmeldeschluss ist der 08.11.2018. Die Teilnahme ist kostenlos und auch für Nicht-GI-Mitglieder möglich. Eine Anmeldung ist aufgrund organisatorischer Anforderungen notwendig.
Falls Sie sich angemeldet haben, aber doch nicht teilnehmen können, bitten wir Sie, eine entsprechende Information ebenfalls an mail/at/fg-secmgt.gi.de zu senden. Auch wenn die Abmeldung erst kurz vor dem Veranstaltungstermin erfolgt, ist ein entsprechender Hinweis wichtig und hilfreich für die Organisation.
Programm
Agenda (Stand 09.11.2018)
| 10:15 | Begrüßung & Vorstellung der Fachgruppe SECMGT Vorstellung der Sponsoren DB Systel GmbH (Gastgeber) und UIMC GmbH (Getränke) |
| 10:40 | Matthias Fischer BMI, Referat CI 3 Cybersicherheit für Wirtschaft und Gesellschaft: Ergebnisse aus dem IT-Sicherheitsgesetz, Status und Lessons Learnt |
| 11:25 | Kommunikationspause - Zeit zum Wissensaustausch |
| 11:40 | Drazen Morog, CISO, DB Netz AG: Erfahrungen der DB Netz AG als Eisenbahninfrastrukturbetreiber mit dem IT-Sicherheitsgesetz Inhalt:
• Herausforderungen der übergreifenden Governance bei IT und OT-Systemen
• Schritte zur erfolgreichen Auditierung gemäß IT-Sicherheitsgesetz |
| 12:25 | Mittagspause – Zeit zum Wissensaustausch |
| 14:10 | Boban Kršić, Chief Information Security Officer DENIC eG: IT-Sicherheitsgesetz - check! Lessons Learned aus dem Nachweisprozess Die Umsetzung des IT-Sicherheitsgesetzes und die Nachweiserbringung gemäß §8a BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) gehören zu den größten Herausforderungen für Betreiber kritischer Infrastrukturen. Boban Kršić hat die DENIC eG im Mai 2018 die Umsetzung des IT-Sicherheitsgesetzes und Nachweiserbringung gemäß §8a BSIG gegenüber dem Gesetzgeber erfolgreich durchgeführt. Sein Vortrag soll den Teilnehmern als Praxisbericht für ein Unternehmen aus dem IKT-Sektor dienen, das als Betreiber einer kritischen Anlage im Sinne der BSI-KritisV die Umsetzung des IT-Sicherheitsgesetzes anhand von internationalen Normen und Standards durchgeführt und den Nachweis gemäß §8a BSIG gegenüber dem Gesetzgeber erbracht hat. |
| 14:55 | Kommunikationspause - Zeit zum Wissensaustausch |
15:10 | Randolf-Heiko Skerka, Division Manager SRC GmbH / Ralf Plomann, IT-Leiter St.-Marien-Hospital Lünen: Erfahrungsbericht: Prüfung nach § 8a (3) BSIG aus Prüfer- und Krankenhaussicht - KritisV-Eindrücke eines Betreibers und einer prüfenden Stelle Die Erbringung der Nachweise gemäß § 8a (3) BSIG und die Durchführung der Prüfung stellt sowohl für den Betreiber der kritischen Infrastruktur wie auch für die prüfende Stelle eine Herausforderung dar. Im Vortrag werden die Erfahrungen einer der ersten Prüfungen eines Krankenhauses aus der Sicht des Krankenhauses und aus der Sicht der prüfenden Stelle dargestellt. Auch wird darauf eingegangen, welche wechselnden Herausforderungen im Verlauf der Prüfung zu bewältigen waren. |
| 15:55 | Kommunikationspause - Zeit zum Wissensaustausch |
| 16:10 | Moderierte Diskussion/Erfahrungsaustausch
Erfahrungen der Teilnehmer mit der Umsetzung der KRITIS-Verordnung in Unternehmen |
| 16:45 | Ende der Veranstaltung |