KRITIS

KRITIS-Betreiber unter Zugzwang, ein Informationssicherheitssystem (ISMS) zu implementieren

Betreiber Kritischer Infrastrukturen sichern ihre Compliance und Existenz ab, indem sie systematisch alle Informationssicherheitsrisiken und die entsprechenden Gegenmaßnahmen in einem ISMS erfassen und nachweisen, dass ihre Systematik funktioniert.

Seit Inkrafttreten des IT-Sicherheitsgesetzes sind KRITIS-Betreiber verpflichtet, ein ISMS einzuführen und den Nachweis nach §8a BSIG zu erbringen, dass der „Stand der Technik“ umgesetzt wurde.

Ein ISMS umfasst die Bündelung aller Verfahren, Regeln und Technischen Maßnahmen innerhalb eines Unternehmens, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Das ISMS muss sich auf alle Anlagen erstrecken, die für das Erbringen einer kritischen Dienstleistung nötig sind (z.B. für das Versorgen der Bevölkerung mit Wasser oder Energie).

Der Nachweis über die erfolgreiche Implementierung und Aufrechterhaltung des ISMS ist in Form vom BSI vorgegebener Nachweisdokumente zu erbringen. Diese Dokumente (Blatt KI, PS, PS, PE) werden vom Betreiber der Kritischen Infrastruktur beim BSI eingereicht (nicht von der Prüfinstitution). Der Nachweis muss alle zwei Jahre erbracht und dem BSI übermittelt werden.

Vom Betreiber auszufüllende Dokumente:

  • Nachweisdokument KI: Dieses Dokument beinhaltet Angaben zur Infrastruktur und benennt einen Ansprechpartner für das BSI

Von der Prüfinstitution auszufüllende Dokumente:

  • Nachweisdokument PD: Dieses Dokument beinhaltet Angaben zur Eignung der prüfenden Stelle und zum Prüfteam
  • Nachweisdokument PS: Das Dokument beinhaltet Angaben zum Geltungsbereich und zu  den Prüfthemen und zu Art, Umfang und Dauer der Prüfung
  • Nachweisdokument PE: Das Dokument beinhaltet Angaben zum Prüfergebnis und eine Liste der aufgedeckten Sicherheitsmängel

Betroffene KRITIS-Sektoren und zugehörige Branchen

Die ausgegrauten Bereiche werden von der KRITIS-Verordnung nicht erfasst.

Betroffene Branchen müssen, um unter KRITIS zu fallen, zudem einen definierten Schwellenwert überschreiten. Dieser Schwellenwert ist in der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) festgelegt. Die Schwellenwerte ergeben sich aus der Berechnung auf die durchschnittliche von einer Person genutzte Leistung, hochgerechnet auf einen Wert für 500.000 Personen.

Es ist davon auszugehen, dass die Schwellenwerte in den kommenden Jahren sinken, sodass immer mehr Organisationen in die Pflicht genommen werden, ihre IT gegen ungewollte Eingriffe zu schützen.

Stand der Technik & Branchenspezifische Sicherheitsstandards (B3S)

Was genau der „Stand der Technik“ ist, ist nirgends pauschal definiert.  Es ist jedoch vom BSI gewünscht, dass Branchen (oder auch einzelnen Unternehmen bzw. Unternehmensgruppen) einen Branchenspezifische Sicherheitsstandard definieren der den Stand der Technik festlegt. Dieser wird beim BSI eingereicht, geprüft und freigegeben. Ist ein solcher Standard vorhanden ist dieser als Stand der Technik anzusehen. Ein B3S ist auf zwei Jahre Gültigkeit begrenzt und muss dann, revisioniert, erneut eingereicht und geprüft werden.

Eine Liste existierender B3S finden Sie beim BSI.

Was kann die GUTcert für Sie tun?

Als akkreditierte Zertifizierungsstelle nach ISO 27001 (ISMS) prüft die GUTcert Ihre einzureichenden Nachweise. Unsere speziell dafür qualifizierten Auditoren nehmen dazu Ihr System zur Erfüllung der Anforderungen für KRITIS genau unter die Lupe.

Nach einer Dokumentenprüfung und einem Vor-Ort-Termin erstellt der Auditor einen Auditbericht und die nötigen Nachweisdokumente für das BSI. Diese Nachweisdokumente reichen Sie beim BSI ein und weisen damit nach, dass Sie den §8a (3) BSIG erfüllen.

Wenn gewünscht, können wir im Rahmen der Beauftragung zur Prüfung nach §8a (3) BSIG auch eine Vorprüfung vor Ort durchführen, um mögliche Schwachstellen bereits vor dem eigentlichen Audit aufzudecken.