Seit dem 1.5.2023 sind Betreiber sog. Kritischer Infrastrukturen verpflichtet, Systeme zur Angriffserkennung (SzA) einzusetzen (§ 8a Abs. 1a des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, BSIG). Dadurch soll sichergestellt werden, dass fortwährend Bedrohungen identifiziert und vermieden werden sowie bei eingetretenen Störungen geeignete Beseitigungsmaßnahmen vorhanden sind. Diese Maßnahmen im Zusammenhang mit den SzA sind Bestandteil der Prüfung und damit der Nachweise gegenüber dem BSI. Zum Einsatz von Systemen zur Angriffserkennung hat das BSI eine Orientierungshilfe veröffentlicht. Deren Ziel ist es, den Betreibern Kritischer Infrastrukturen sowie den prüfenden Stellen einen Anhaltspunkt für die individuelle Umsetzung und Prüfung der Vorkehrungen zu geben. Vor diesem Hintergrund wurde der IDW PH 9.860.2 überarbeitet und um die Anforderungen aus dieser Orientierungshilfe und beispielhafte Prüfungshandlungen ergänzt. Die Neufassung des IDW-Prüfungshinweises „Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Abs. 1 und § 8a Abs. 1a BSIG umzusetzenden Maßnahmen (IDW PH 9.860.2 n.F.) (11.2023)“ ist in der IDW Life 1/2024 veröffentlicht.
(IDW Aktuell vom 10.1.2024)