KRITIS-Geltungsbereich
Nach Identifikation als Kritische Infrastruktur müssen Betreiber im Unternehmen den Geltungsbereich der KRITIS-Anlagen definieren. Dieser Geltungsbereich beschreibt und dokumentiert pro Anlage die für den Betrieb notwendigen Prozesse und Technologien (IT und OT) und ist im weiteren Verlauf relevant für:
- Cyber Security Maßnahmen: Der Geltungsbereich definiert die Grenzen der in den KRITIS-Anlagen notwendigen Sicherheitsvorkehrungen.
- BSIG Nachweisprüfungen: Bei der Prüfung der Sicherheitsvorkehrungen in den KRITIS-Anlagen definiert der Geltungsbereich den Scope für die KRITIS-Prüfer und wird vor Beginn der Prüfung genau untersucht.
Der KRITIS-Geltungsbereich wird als ein eigenständiges, zusammenhängendes Dokument pro KRITIS-Anlage vom Betreiber erstellt. Das BSI hat hierzu Empfehlungen und Erfahrungen aus der Praxis an Geltungsbereiche publiziert.
Dokumentation vom Geltungsbereich
Der Geltungsbereich legt alle Prozesse, Komponenten und IT-Systeme der registrierten und zu prüfenden KRITIS-Anlagen fest, die für die Funktion der kritischen Dienstleistung zur Gewährleistung der Versorgungssicherheit notwendig sind. Diese Festlegungen werden im Dokument Geltungsbereich durch KRITIS-Betreiber dokumentiert und als Anlage PD.A in der KRITIS-Prüfung verwendet.
Die folgenden Ausführungen referenzieren die BSI-Anforderungen G01-G13/N01-N10 aus der Orientierungshilfe Nachweise (OH-N), Anhang C. Siehe dazu auch »Informationen zur Wahl des Geltungsbereichs« des BSI und die Tabelle auf dieser Seite unten.
Kritische Dienstleistung
Der Geltungsbereich sollte die vom Betreiber erbrachten Teile der kritischen Dienstleistung vollständig und exakt beschreiben. Dies umfasst eine genaue Würdigung der in der KRITIS-Verordnung definierten Dienstleistungen und ihrer Bereiche im eigenen Unternehmen.
Eine Beschreibung der Wertschöpfungskette im eigenen Unternehmen und die Einbettung der kritischen Dienstleistung hilft bei der Abgrenzung — die kritischen Dienstleistung wird in den meisten Fällen nur einen Teil der Leistungen des Unternehmens von KRITIS-Betreibern ausmachen. Der Geltungsbereich sollte dies genau definieren.
Anforderung G02, G06, G07
KRITIS-Anlagen
Die registrierte KRITIS-Anlage sollte beim Betreiber möglichst genau umrissen werden. Die Anlage sollte dazu mit ihren Prozessen und Komponenten exakt eingegrenzt werden auf die Funktion im Sinne der kritischen Dienstleistung.
Eine grafische Darstellung der KRITIS-Anlage hilft bei der Definition der Funktionsweise und Abgrenzung zu Schnittstellen, weiteren Unternehmensteilen und auch Externen. Der spätere Netzstrukturplan sollte sich aus dieser Darstellung ableiten lassen.
Anforderung G01, G03
Prozesse
Die einzelnen, zwingend notwendigen Prozesse innerhalb der KRITIS-Anlage zur Funktion der kritischen Dienstleistung sollte genau aufgezählt und beschrieben werden. Es sollten nur diese Prozesse aufgeführt werden, die für die kritische Dienstleistung unbedingt notwendig sind — in der Regel die betrieblichen Kern- oder Leistungsprozesse dieser Anlage.
Eine Prozessnotation oder Darstellungsform ist nicht vorgeschrieben, eine Zuordnung der Komponenten zu Prozessen sollte allerdings ersichtlich sein.
Anforderung G04, G11
Komponenten (IT und OT)
Die wichtigsten informationstechnischen Systeme, Komponenten und Prozesse
der KRITIS-Anlage müssen im Geltungsbereich erfasst und beschrieben werden.
Dies umfasst in der Regel IT-Systeme, IT-Anwendungen, Infrastrukturen und auch OT.
Es gibt keine normative Festlegung zur Darstellung oder dem Detaillierungsgrad — ein Auszug aus dem Asset-Management bzw. Register mit den für die Prozesse der KRITIS-Anlage notwendigen Systeme samt einer genaueren Beschreibung wäre wünschenswert.
Anforderung G05
Externe und Schnittstellen
Im Geltungsbereich muss klar ersichtlich sein, ob und welche Teile der IT oder KRITIS-Anlage von Dritten betrieben wird. Dies kann IT-Dienstleister, Infrastrukturanbieter, Cloud- oder auch Outsourcing-Provider umfassen. Die Schnittstellen und Abhängigkeiten der KRITIS-Anlage und ihrer IT zu externen Betreibern, Systemen und Infrastrukturen muss ebenfalls klar ersichtlich sein (Wartung, Datenaustausch usw.).
Wichtig: für ausgelagerte IT und Komponenten bleibt der Betreiber der KRITIS-Anlage voll verantwortlich. Die Betriebsverantwortung wird durch Verantwortung für Service Management und Dienstleister-Steuerung erweitert — das A verbleibt beim KRITIS-Betreiber.
Anforderung G08, G09, G10
Netzstrukturplan
Eine der Kernforderungen der Vorgaben ist ein Netzstrukturplan der Kritischen Infrastruktur als Teil des Geltungsbereiches (G12). Es gibt keine normative Vorgaben zur genauen Darstellung, Form oder Umfang des Netzstrukturplans, aber insgesamt zehn allgemeinere Anforderungen (N01 bis N10) aus der Orientierungshilfe:
- Der Netzstrukturplan soll die Kritische Infrastruktur überblicksweise (N01) mit den relevanten Elementen der kritischen Dienstleistung (N04) beschreiben.
- Alle maßgeblichen Bereiche, Systeme, Komponenten und gegebenenfalls Applikationen (N02) werden auf einem angemessenen Abstraktionsniveau (N03) dargestellt.
- Aufteilung in Standorte werden im Netzstrukturplan abgebildet (N07), zusammen mit den IT-Anbindungen (Netz-Infrastruktur) der Standorte untereinander (N08).
- Kommunikationsschnittstellen nach außen (N05), Wartungsschnittstellen (N06) und Abhängigkeiten nach außen, wie ausgelagerte Teile der Dienstleistung oder externe Dienstleister (N09) werden im Netzstrukturplan ebenfalls erfasst.
- Zum Netzstrukturplan gibt es notwendige textuelle Erklärungen und Ergänzungen (G13) und passende Legenden und Bezeichnungen (N10).
Anmerkung: Der Netzstrukturplan soll mithin keine vertraulichen, proprietären Informationen enthalten oder interne Netzwerkpläne exakt wiedergeben — sondern einen relevanten und angemessenen Überblick der kritischen Dienstleistung und KRITIS-Anlage (was läuft wo).
Anforderung G12, G13, N01 bis N10
Formelle Anforderungen
Anforderungen aus der Orientierungshilfe Nachweise (OH-N), die seit Juni 2023 verbindlich für Prüfungen sind.
| Nr. | Anforderung |
|---|---|
| Geltungsbereich | |
| G01 | Die Anlage ist erkennbar und nachvollziehbar beschrieben. |
| G02 | Die vom Betreiber erbrachten Teile der kDL sind erkennbar und nachvollziehbar beschrieben |
| G03 | Die Darstellung enthält alle wesentlichen Merkmale der Anlagenkategorie. |
| G04 | Alle für die kDL maßgeblichen Prozesse sind erfasst. |
| G05 | Alle für die kDL maßgeblichen Systeme, Komponenten und ggf. Applikationen sind erfasst. |
| G06 | Alle Bereiche der KRITIS gehen aus dem eingereichten Geltungsbereich hervor. |
| G07 | Die Grenzen des Geltungsbereiches sind klar erkennbar. |
| G08 | Die Schnittstellen zu außerhalb des Geltungsbereich liegenden Prozessen, Systemen, Komponenten und ggf. Applikationen sind erkennbar und nachvollziehbar beschrieben |
| G09 | Die Abhängigkeiten zu außerhalb des Geltungsbereich liegenden Prozessen, Systemen, Komponenten und ggf. Applikationen sind erkennbar und nachvollziehbar beschrieben. |
| G10 | Durch Dritte betriebene Teile der KRITIS sind erkennbar und nachvollziehbar beschrieben. |
| G11 | Der Geltungsbereich ermöglicht eine Zuordnung zwischen Prozessen und zugehörigen notwendigen Systemen, Komponenten und ggf. Applikationen. |
| G12 | Der Geltungsbereich ist in einem Netzstrukturplan dargestellt. |
| G13 | Zum Verständnis notwendige schriftliche Ergänzungen zum Netzstrukturplan wurden vorgenommen |
| Netzstrukturplan (NSP) | |
| N01 | Der Netzstrukturplan bietet einen Überblick über den Geltungsbereich. |
| N02 | Alle maßgeblichen Systeme, Komponenten und ggf. Applikationen sind dargestellt. |
| N03 | Das Abstraktionsniveau ist passend gewählt worden. |
| N04 | Die Relevanz einzelner Elemente des Netzstrukturplans für die kDL ist ersichtlich. |
| N05 | Alle Kommunikationsschnittstellen nach außen sind dargestellt. |
| N06 | Wartungsschnittstellen sind abgebildet, sofern sie dauerhaft freigeschaltet sind |
| N07 | Der Netzstrukturplan gibt eine ggf. existierende Aufteilung in Standorte wieder |
| N08 | Die IT-Anbindungen verschiedener Standorte zueinander sind dargestellt |
| N09 | Ausgelagerte Dienstleistungen sind dargestellt |
| N10 | Funktionale Bezeichnungen und Legenden liegen nötigenfalls vor und sind verständlich |
Weitere Informationen
Literatur
- Zur Dokumentation des Geltungsbereiches bei KRITIS-Betreibern, Erfahrungen aus den Nachweisen, Bundesamt für Sicherheit in der Informationstechnik, 28.06.2022
- Informationen zur Wahl des Geltungsbereichs, Infos für Prüfer, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Quellen
- Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, 28.08.2020
- Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a (2) BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, September 2021
- Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist