Skip to main content

Ordenanza de BSI sobre la criticidad

¿A quién va dirigida la Ordenanza de criticidad de las BSI?

La Ordenanza sobre la criticidad de BSI está dirigida a los operadores de infraestructuras críticas (KRITIS). KRITIS -Los operadores son empresas e instituciones que se encargan de abastecer al público en general en las áreas de energía y

  • Suministro de agua,
  • atención médica,
  • el comercio de alimentos y la industria alimentaria,
  • tecnología de la información y telecomunicaciones,
  • en el sector del transporte y el tráfico,
  • en el gobierno y la administración,
  • en medios de comunicación y cultura

servicios privados y públicos y para cuyos sistemas informáticos es obligatoria la notificación de incidentes de seguridad.

¿Cuál es el objetivo de esto?

Dado que las restricciones o el fallo de un sistema informático, de sus componentes o de los procesos en los ámbitos mencionados provocaría importantes restricciones en el suministro o incluso una amenaza para la seguridad pública, los operadores de KRITIS se ven obligados, bajo la amenaza de fuertes multas en virtud de la Ley de Seguridad Informática, a demostrar cada dos años que sus sistemas de infraestructuras informáticas críticas son

  • cumplir con todas las normas de modificación de la Oficina Federal de Seguridad de la Información (BSI),
  • son «de última generación» y
  • los riesgos se gestionan de acuerdo con una norma reconocida como la ISO 27001.

Según la ordenanza sobre criticidad de las BSI, ¿con qué medios deben los operadores garantizar la seguridad de las infraestructuras críticas?

El artículo 8b (3) de la Ley de las ICS exige a los operadores de infraestructuras críticas que designen un punto de contacto accesible las 24 horas del día y los 365 días del año para la detección y gestión temprana de crisis. Este punto debe, a su vez, informar de cualquier perturbación relativa a la

  • Disponibilidad
  • Confidencialidad
  • Integridad
  • Autenticidad

del sistema informático o de sus procesos y componentes a la Oficina Federal de Seguridad de la Información (BSI) que haya provocado o pueda provocar un fallo o un deterioro significativo de partes o de toda la infraestructura informática.

KRITIS los operadores deben establecer un sistema de gestión de la información(SGSI) y, si es posible, deben basar sus medidas para lograr la certificación en los mecanismos de seguridad ya existentes. La BSI confirma que se ha implantado y se mantiene un SGSI adecuado tras una auditoría realizada por auditores certificados con un certificado ISO/IEC 27001.


¿Tiene más preguntas?

Por favor, contáctenos


Otros contenidos