Das neue IT-Sicherheitsgesetz schreibt Betreibern von Kritischen Infrastrukturen wie Energieversorgern, Krankenhäusern oder Finanzdienstleistern vor, künftig ein Information Security Management System nach DIN ISO 27001 im Einsatz zu haben. Der IT-Sicherheitskatalog der Bundesnetzagentur verlangt von Energieversorgern zusätzlich, dieses ISMS zertifizieren zu lassen. Auch wenn die beiden Regelwerke derzeit noch im Entwurfsstadium sind, kann ihr Inkrafttreten als sicher gelten.

Mit einem neuen Dienstleistungs-Angebot unterstützt der IT-Dienstleister prego services die betroffenen Unternehmen. Er ist selbst ISO-27001-zertifiziert und konzipiert, implementiert sowie betreibt seit über zehn Jahren sichere Prozessnetzwerke für Energieversorger und Krankenhäuser. Darüber hinaus ist prego services Teilnehmer der Allianz für Cyber-Sicherheit im Bereich Kritische Infrastrukturen.

In Form eines Workshops vermitteln die Experten des IT-Dienstleisters zunächst die Grundlagen zum Thema. Die Teilnehmer werden über den Aufbau eines ISMS informiert und erfahren, wie es die Verfügbarkeit, Vertraulichkeit und Integrität kritischer Daten sicherstellt. Außerdem werden sie umfassend über die organisatorischen Anforderungen eines ISMS aufgeklärt, beispielsweise die Pflicht des Managements, Informationsschutz- und Sicherheitsrichtlinien zu erlassen, die nötigen Ressourcen bereitzustellen sowie das System laufend zu überwachen, aber auch kontinuierlich zu verbessern.

Im zweiten Schritt übernimmt prego services dann auf Wunsch den Aufbau des ISMS unter Berücksichtigung des spezifischen Risikoprofils des Auftraggebers. Ausgehend von einer Definition der betroffenen Bereiche und Prozesse werden die nötigen Maßnahmen festgelegt und implementiert. Der vom Gesetz geforderte IT-Sicherheitsbeauftragte, der künftig für das ISMS verantwortlich ist, wird von den prego-Experten unterstützt und an das System herangeführt. Mit einem internen Audit stellt der IT-Dienstleister sicher, dass das ISMS zertifizierungsreif ist.

Je nach Bedarf übergibt prego services das System nach seinem Aufbau an den Auftraggeber oder betreut es dauerhaft für ihn. Mit dieser Option richtet sich der IT-Dienstleister vor allem an kleine und mittelständische Unternehmen, die den personellen und organisatorischen Aufwand für den Betrieb des ISMS nicht selbst stemmen können. So verlangen die Vorgaben nicht nur einen IT-Sicherheitsverantwortlichen, sondern auch eine Warn- und Alarmierungsstruktur, die rund um die Uhr verfügbar sein muss.