Datenschutz & Sicherheit
BSI veröffentlicht ersten Leitfaden für IT-Grundschutz++
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die erste Version seines Leitfadens zur Methodik des IT-Grundschutzes++ veröffentlicht. Der entsprechende Katalog ist bereits zum 1. Januar 2026 erschienen. Damit kommt das BSI seiner in der NIS2-Umsetzungsverordnung festgelegten Pflicht nach, einen neuen „Stand der Technik“ zu definieren, der für alle wichtigen und besonders wichtigen Organisationen verpflichtend ist. Die bisherige Fassung des IT-Grundschutzes gilt aber noch bis Ende 2028.
Weiterlesen nach der Anzeige
Damit hat das BSI pünktlich und umfangreich geliefert, aber es ist auch festzustellen, dass noch nicht alles fertig ist. Wer mit dem Leitfaden und dem Anwenderkatalog jetzt die Migrationen starten möchte, sollte besser noch etwas Geduld haben. Der Leitfaden ist explizit nur für Pilotprojekte und nicht für die Migration von Informationsverbünden, die derzeit ein Informationssicherheitsmanagementsystem (ISMS) nach Grundschutz Edition 2023 betreiben.
Weniger Aufwand dank Maschinenlesbarkeit
Das BSI hat nun bis Ende 2028 Zeit, aus den Pilotprojekten zu lernen und die Methodik, die Umsetzungshilfen, das Auditierungsschema und alles, was die Anwender sonst benötigen, weiterzuentwickeln. Besonders wichtig ist auch ein Migrationspfad und die notwendigen Werkzeuge, denn der Grundschutz++ besteht nicht mehr aus PDF-Dateien, die jeweils einen Baustein enthalten, sondern aus drei OSCAL-Katalogdateien (Methodik, Kernel und die Kombination aus beiden, der Anwenderkatalog). Dazu kommen Anleitungen, beispielsweise welche Kontrollen die Organisation auf ein Hostsystem (früher: Server) anwenden muss. Mit der Verwendung eines maschinenlesbaren Standards will das BSI auch die Verwaltung der Sicherheitsanforderungen erleichtern.
In diesem Workshop lernen Informationssicherheitsbeauftragte, wie sie die IT-Grundschutz-Methodik des BSI praxisnah anwenden, um die Informationssicherheit in ihrem Unternehmen systematisch umzusetzen und zu verbessern. Der Workshop vermittelt das notwendige Grundlagenwissen und ermöglicht den direkten Erwerb des BSI-Zertifikats.
Anmeldung und Termine unter: heise.de/s/8oGlz
Mit dem am heutigen Mittwoch erschienenen Leitfaden wird bereits viel erklärt – nützlich für alle, die sich früh auf die Migration vorbereiten wollen oder als NIS2-Betroffene ein ISMS nach vom BSI definierten „Stand der Technik“ aufbauen wollen. Aber mit Änderungen ist noch zu rechnen. Was sich wohl nicht mehr stark ändern wird, sind die genannten drei Kataloge. Hier finden Anwender alle Kontrollen, an denen sie sich auch heute schon orientieren können. Der Leitfaden unterstützt beim Verständnis. Im Zweifel gilt allerdings immer, was der Katalog festlegt.
Für Neugierige hat die „AG 3 Benutzergenerierte Inhalte“ der aktuellen Phase 2 der Community-Kommentierung mehrere Werkzeuge bereitgestellt. Der „GSpp-Viewer.html“ zeigt den Katalog und die Zielobjektkategorien. Die weiteren One-Page-HTML-Apps bilden alle Arbeitsschritte gemäß NIST OSCAL 1.1.3 ab.
Weiterlesen nach der Anzeige
(axk)