Portaria de Criticidade da BSI

A quem se dirige o Regulamento de Crítica da BSI?

O BSI Criticality Ordinance é dirigido a operadores de infra-estruturas críticas (KRITIS). KRITIS -Operadores são empresas e instituições que são necessárias para abastecer o público em geral nos campos da energia e

serviços privados e públicos e para cujos sistemas de TI é obrigatória a comunicação de incidentes de segurança.

Qual é o propósito disto?

Uma vez que restrições ou a falha de um sistema de TI, seus componentes ou processos nas áreas acima mencionadas levariam a restrições significativas no fornecimento ou mesmo a uma ameaça à segurança pública, os operadores do KRITIS são forçados, sob ameaça de pesadas multas nos termos da Lei de Segurança de TI, a provar a cada dois anos que seus sistemas de infraestrutura de TI crítica são

• cumprir todos os regulamentos de alteração do Escritório Federal de Segurança da Informação(BSI),
• são “state of the art” e
• Os riscos são geridos de acordo com uma norma reconhecida, como a ISO 27001.

De acordo com a Portaria de Criticidade da BSI, por que meios os operadores devem garantir a segurança das infra-estruturas críticas?

A Secção 8b (3) da Lei BSI exige que os operadores de infra-estruturas críticas designem um ponto de contacto que possa ser alcançado 24/7/365 para a detecção e gestão precoce de crises. Este ponto deve, por sua vez, reportar qualquer perturbação em relação ao

do sistema de TI ou seus processos e componentes ao Escritório Federal de Segurança da Informação (BSI) que tenha resultado ou possa resultar em uma falha ou deficiência significativa de partes ou de toda a infra-estrutura de TI.

KRITIS os operadores devem criar um sistema de gestão da informação(SGSI) e, se possível, devem basear as suas medidas para obter a certificação nos mecanismos de segurança já existentes. Após uma auditoria por auditores certificados, a BSI confirma com um certificado ISO/IEC 27001 que um SGSI apropriado foi implementado e é mantido.