Atos bietet BSI zertifizierte Dienstleitungen für Kunden mit hohen
IT-Grundschutz Bedarf
Angefangen bei BSI-zertifizierten Endgeräten und einer geschützten Verzeichnisdienstverwaltung zur sicheren Administration der IT-Landschaft bis hin zur zentralen Bereitstellung einer skalierbaren, hochverfügbaren Data Center Umgebung mit den dazugehörigen Cybersecurity Services, Endpoints, Server-, Storage- und Netzwerkkomponenten sowie einem umfangreichen Applikationsbetrieb, bieten die Atos German Classified Services (AGCS) eine schutzbedarfsbezogene Private Cloud / Hybrid Cloud an. Durch das an die Kundenbedürfnisse anpassbare IT-Service Management nach ITIL, den optionalen Service Desk und Front-Office Services sowie der möglichen Anbindung an Cloud Service Provider, ist eine maßgeschneiderte Umgebung unter Berücksichtigung des zum Einsatz kommenden Business Continuity Management Systems investitionssicher realisierbar. Regulatorische Anforderungen (z. B. KRITIS, NIS-2, DORA) können im AGCS toolbasiert, gemäß dem Stand der Technik, abgebildet werden und dienen der Cyber-Resilienz und dem Schutz kritischer und ziviler Infrastrukturen. Die Mitigation von aktuellen Bedrohungen (bspw. DDoS, Ransomware) sowie die Möglichkeit zur Umsetzung von Anforderungen, welche im erhöhten Schutzbedarf oder in VS-NfD Umgebungen angesiedelt sind, bieten einen zusätzlichen Schutz vor Cyberkriminalität und schaffen im AGCS die Voraussetzungen für eine sichere und umfassende Digitalisierung Deutschlands.
Sind Sie NIS2?
Machen Sie den Test des Bundesamtes für Sicherheit in der Informationstechnik und finden Sie es heraus!
Ist Ihr Unternehmen KRITIS?
1. Branche: Gehört Ihr Unternehmen zu einer der folgenden Sektoren?
– Energie (z.B. Stromversorgung, Gasversorgung, Ölversorgung) |
– Informationstechnik und Telekommunikation |
– Wasser (Versorgung und Abwasserentsorgung) |
– Ernährung (z.B. Lebensmittelproduktion, -verarbeitung, -handel) |
– Gesundheit (z.B. Krankenhäuser, Pharmaunternehmen) |
– Finanz- und Versicherungswesen (z.B. Banken, Versicherungen) |
– Transport und Verkehr (z.B. Bahnen, Flughäfen, Straßen) |
– Medien und Kultur |
Nein?
Ihr Unternehmen ist nicht KRITIS.
2. Versorgungsrelevanz: Versorgt Ihr Unternehmen einen signifikanten Teil der Bevölkerung oder anderer kritischer Infrastrukturen?
Erfahren Sie mehr!
Schwellenwerte für die Versorgungsrelevanz
Die Schwellenwerte für die Versorgungsrelevanz von KRITIS (Kritische Infrastrukturen) sind in der Regel in den gesetzlichen Vorgaben, insbesondere in der BSI-Kritisverordnung (BSI-KritisV), festgelegt. Diese Schwellenwerte definieren, ab wann ein Betreiber von Infrastrukturen als Betreiber kritischer Infrastrukturen eingestuft wird. Hier sind die Schwellwerte für einige der relevanten Sektoren:
Sektor Energie
Stromerzeugung: Anlagen mit einer Nennleistung von 420 MW oder mehr.
Stromverteilung: Netze mit einer Länge von 300 km oder mehr.
Gasversorgung: Anlagen mit einer Einspeiseleistung von 500 Mio. m³/Jahr oder mehr.
Ölversorgung: Raffinerien mit einer Kapazität von 3 Mio. Tonnen/Jahr oder mehr.
Sektor Informationstechnik und Telekommunikation
Internet-Exchange-Points (IXP): Anbieter mit einem durchschnittlichen Datenvolumen von 300 Gbit/s oder mehr.
DNS-Resolver: Systeme, die Anfragen von 250.000 Endsystemen oder mehr pro Tag verarbeiten.
Rechenzentren: Einrichtungen mit einer Bruttogeschossfläche von 5.000 m² oder mehr.
Sektor Wasser
Wasserversorgung: Versorgungsanlagen, die mehr als 22 Mio. m³/Jahr Trinkwasser bereitstellen.
Abwasserentsorgung: Anlagen, die Abwasser von mehr als 500.000 angeschlossenen Einwohnern und Einwohnergleichwerten (EGW) behandeln.
Sektor Ernährung
Lebensmittelherstellung: Unternehmen mit einer Jahresproduktion von 434.500 Tonnen oder mehr in der Milchwirtschaft oder 200.000 Tonnen oder mehr in der Fleischwirtschaft.
Lebensmittelhandel: Unternehmen mit einer Verkaufsfläche von 40.000 m² oder mehr.
Sektor Gesundheit
Krankenhäuser: Einrichtungen mit mehr als 30.000 vollstationären Fällen pro Jahr.
Labore: Einrichtungen, die jährlich mehr als 4 Mio. Untersuchungen im Bereich Humanmedizin durchführen.
Sektor Finanz- und Versicherungswesen
Banken: Kreditinstitute mit einer Bilanzsumme von 100 Mrd. Euro oder mehr.
Börsen: Handelsplätze mit einem durchschnittlichen täglichen Handelsvolumen von 6,75 Mrd. Euro oder mehr.
Sektor Transport und Verkehr
Flughäfen: Flughäfen mit einem jährlichen Passagieraufkommen von 20 Mio. oder mehr bzw. einem Frachtaufkommen von 500.000 Tonnen oder mehr.
Schienenverkehr: Strecken mit einer Länge von 10.000 km oder mehr.
Diese Schwellenwerte können sich ändern und sind abhängig von den spezifischen Verordnungen und der jeweiligen Version der BSI-Kritisverordnung. Unternehmen, die diese Schwellenwerte überschreiten, gelten als Betreiber kritischer Infrastrukturen und unterliegen besonderen gesetzlichen Anforderungen, einschließlich spezifischer IT-Sicherheitsvorgaben.
Nein?
Ihr Unternehmen ist wahrscheinlich nicht KRITIS.
3. Versorgungsgröße: Überschreitet Ihr Unternehmen bestimmte Schwellenwerte bezüglich der Kapazität oder Anzahl der versorgten Einheiten? (z.B. Mindestabnahmemengen bei Energie oder Wasser, bestimmte Anzahl von Kunden in der Telekommunikation)
Nein?
Ihr Unternehmen ist wahrscheinlich nicht KRITIS.
4. Rechtsvorgaben und Gesetze: Gibt es spezifische Gesetze, Verordnungen oder Regelungen, die Ihr Unternehmen als KRITIS einstufen?
Ja?
Ihr Unternehmen ist KRITIS.
5. Ausfallkonsequenzen: Würde ein Ausfall oder eine Störung Ihres Unternehmens zu gravierenden Beeinträchtigungen der öffentlichen Sicherheit, Ordnung, Gesundheit oder wirtschaftlichen Stabilität führen?
Ja?
Ihr Unternehmen ist KRITIS.
Nein?
Ihr Unternehmen ist wahrscheinlich nicht KRITIS.
Benötigt Ihr Unternehmen IT-Grundschutz?
1. Existenz von IT-Systemen: Verfügt Ihr Unternehmen über IT-Systeme, die für den Betrieb oder die Erfüllung Ihrer Unternehmensziele notwendig sind?
Nein?
IT-Grundschutz ist nicht erforderlich.
2. Kritikalität der Daten und Systeme: Verarbeitet Ihr Unternehmen sensible, personenbezogene oder geschäftskritische Daten? (Dazu gehören Kundendaten, Finanzinformationen, geistiges Eigentum, etc.)
Nein?
IT-Grundschutz ist möglicherweise nicht erforderlich, dennoch können andere Schutzmaßnahmen sinnvoll sein.
3. Gesetzliche und regulatorische Anforderungen: Gibt es gesetzliche oder regulatorische Vorgaben, die von Ihrem Unternehmen den Schutz der IT-Systeme fordern?
Beispiele: DSGVO (Datenschutz-Grundverordnung), Anforderungen von Aufsichtsbehörden, branchenspezifische Vorschriften.
Ja?
IT-Grundschutz ist erforderlich.
4. Schutzbedarf der IT-Systeme:
Verfügbarkeit
Wie kritisch ist die Verfügbarkeit der IT-Systeme für die Unternehmensprozesse?
Verfügbarkeitsausfall | Bedeutung | Schutzbedarf an Verfügbarkeit |
---|---|---|
Hoch | Ein Ausfall führt zu schwerwiegenden Betriebsstörungen (z.B. Produktionsausfall, finanzielle Verluste). | Hoch |
Mittel | Ein Ausfall führt zu moderaten Beeinträchtigungen (z.B. verzögerte Lieferungen, reduzierte Servicequalität). | Mittel |
Niedrig | Ein Ausfall hat geringe oder keine Auswirkungen auf den Betrieb. | Niedrig |
Vertraulichkeit
Wie sensibel sind die verarbeiteten Daten und Informationen?
Datensensibilität | Bedeutung | Schutzbedarf an Vertraulichkeit |
---|---|---|
Hoch | Ein Verlust oder eine unbefugte Offenlegung könnte zu erheblichen Schäden führen (z.B. Datenschutzverletzungen, Imageverlust). |
Hoch |
Mittel | Ein Verlust oder eine unbefugte Offenlegung könnte zu moderaten Schäden führen | Mittel |
Niedrig | Ein Verlust oder eine unbefugte Offenlegung hat geringe oder keine Auswirkungen. | Niedrig |
Intigrität
Wie kritisch ist die Richtigkeit und Vollständigkeit der Daten und Systeme?
Verfügbarkeitsausfall | Bedeutung | Schutzbedarf an Intigrität |
---|---|---|
Hoch | Manipulationen könnten schwerwiegende Folgen haben (z.B. falsche Entscheidungen, rechtliche Konsequenzen). |
Hoch |
Mittel | Manipulationen könnten moderate Folgen haben (z.B. falsche Berichte, Verzögerungen). |
Mittel |
Niedrig | Manipulationen haben geringe oder keine Auswirkungen. | Niedrig |
5. Schutzbedarfskategorie bestimmen:
Hoch | Wenn ein hoher Schutzbedarf in einer der drei Kategorien (Verfügbarkeit, Vertraulichkeit, Integrität) besteht, sollten Sie einen hohen IT-Grundschutz in Betracht ziehen. |
Mittel | Wenn mittlerer Schutzbedarf in allen Kategorien besteht, kann ein mittlerer IT-Grundschutz ausreichen. |
Niedrig | Wenn geringer Schutzbedarf in allen Kategorien besteht, könnte ein geringer IT-Grundschutz genügen, jedoch sollten die Risiken weiterhin beobachtet werden. |