Geltungsbereich

Scope workshop picture

Nach der Identifikation als NIS2-Einrichtung oder Betreiber kritischer Anlagen muss im eigenen Unternehmen der Geltungsbereich definiert werden, in dem NIS2- und KRITIS-Pflichten umgesetzt werden. Dieser Bereich beschreibt die für eine NIS2-Dienstleistung oder kritische Anlage (KRITIS) notwendigen Prozesse und Technologien wie IT, OT und Kommunikation.

  1. Geltungsbereich
  2. Maßnahmen
  3. Sektorregulierung
  4. Dokumentation
  5. Anforderungen

Der Geltungsbereich, in dem Unternehmen Maßnahmen umsetzen müssen, erweitert sich durch NIS2 meist auf die ganze Legaleinheit (Einrichtung). In einigen Sektoren fallen Unternehmen unter zusätzliche Regulierung neben NIS2 wie Sektorgesetze oder KRITIS, und müssen dann Vorgaben und Schutzmaßnahmen mehrerer Gesetze in Geltungsbereich(en) umsetzen.

Die Referenzen im Text sind zum BSIG und zu GAiN

Betroffenheit in Unternehmen

Geltungsbereich

Der Geltungsbereich regulierter Unternehmen definiert und beschreibt den regulierten Bereich samt seiner notwendigen Prozesse und Technologiekomponenten. Im Vergleich zur bisherigen KRITIS-Regulierung erweitert NIS2 den Geltungsbereich in betroffenen Unternehmen deutlich. Zukünftig fallen große Teile von Unternehmen unter die Regulierung.

Der Geltungsbereich muss von regulierten Einrichtungen und Betreibern selbst im Detail definiert und in einem Geltungsbereichsdokument beschrieben werden.

Einrichtungen (NIS2)

Der Geltungsbereich von wichtigen und besonders wichtigen Einrichtungen ist unter NIS2 sehr umfangreich: Begründung zu §30

  • Der Geltungsbereich umfasst sämtliche IT-Systeme, Komponenten und Prozesse, die für die Erbringung der Dienste genutzt werden.
  • Mit den Diensten meint der Gesetzgeber sämtliche Aktivitäten der Einrichtung, für die IT-Systeme eingesetzt werden, dies beinhaltet beispielsweise auch Büro-IT oder andere IT-Systeme, die durch die Einrichtung betrieben werden.
  • Die Maßnahmen im Geltungsbereich sollen in einem angemessenen Verhältnis zu den Risiken stehen und den unterschiedlichen Grad der Risikoexposition berücksichtigen.
  • Der Geltungsbereich ist auf die regulierte Legaleinheit beschränkt.

Betreiber kritischer Anlagen (KRITIS)

Der Geltungsbereich mit höheren Anforderungen für kritische Anlagen umfasst wie bisher bei KRITIS die Anlage selbst und die regulierte kritische Dienstleistung: §31

  • Geltungsbereich für §31 und §39 Maßnahmen sind die IT-Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind, d.h. die KRITIS-Anlage und notwendige und unterstützende Infrastruktur.
  • Wohlgemerkt bleibt der Rest der Einrichtung außerhalb der Anlage auch reguliert nach §30, s.o.

Logische Darstellung (Beispiel)

Die verschiedenen Scopes können wie folgt in einem Geltungsbereich dargestellt werden:     umfasst den KRITIS-Bereich (kritische Anlage), während     die gesamte Einrichtung (NIS2) umfasst. Es gibt Überschneidungen und Randbereiche (non-NIS2), die auch dazu gehören.

Scope definition

Die Maßnahmen der einzelnen Scopes werden im nächsten Abschnitt definiert.

up

Maßnahmen

Im regulierten Geltungsbereich müssen Einrichtungen für NIS2 geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu vermeiden und Auswirkungen von Sicherheits­vorfällen gering zu halten. §30 (1)

Bei der Bewertung der Verhältnismäßigkeit von Maßnahmen sollen Risikoexposition, Größe der Einrichtung, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie deren gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigt werden – Maßnahmen sollen risikoorientiert gewählt werden. §30 (1)

Speziell für kritische Anlagen

Betreiber kritischer Anlagen gelten unabhängig von der Unternehmensgröße ebenfalls als besonders wichtige Einrichtung – sie haben damit einen NIS2-Geltungsbereich und als Teilmenge davon einen KRITIS-Geltungsbereich für den Anlagenbetrieb, für den zusätzliche erhöhte Anforderungen gelten.

Der KRITIS-Geltungsbereich legt alle Prozesse, Komponenten und IT-Systeme der registrierten und zu prüfenden KRITIS-Anlagen fest, die für die Funktion der kritischen Dienstleistung zur Gewährleistung der Versorgungssicherheit notwendig sind.

Übersicht Geltungsbereiche und Pflichten
Geltungsbereich Abgedeckt Anforderungen
Einrichtung     ganze Legaleinheit NIS2-Anforderungen
§30§32§33§35§38
Kritische Anlage    
wenn vorhanden		 Systeme, Komponenten und Prozesse
der kritischen Dienstleistung (Anlage)		 NIS2 und KRITIS-Anforderungen
§30§31§32§33§35§38§39
Resilienz-Anforderungen
KRITIS-DachG

up

Sektorregulierung

Mehrere Geltungsbereiche

Im Sektor Energie und IT und TK unterliegen Unternehmen sektorspezifischer Regelungen für bestimmte Teilbereiche im Unternehmen:

  • Betreiber von öffentlichen Telekommunikationsnetzen oder Erbringer von öffentlich zugänglichen Telekommunikationsdiensten fallen unter das TKG
  • Betreiber von Energieversorgungsnetzen, Energieanlagen oder digitalen Energiediensten fallen unter das EnWG

Durch die Ausnahmeregelungen in §28 (4)(5) sollen keine Lücken in der Informationssicherheit entstehen. Deshalb gelten sie nur für Teile des Unternehmens, die der Sektorregulierung unterliegen. Im Ergebnis [...] [sollen] alle IT-Systeme einer Einrichtung einer Regulierung [unterliegen] (so auch die Vorgabe aus Artikel 21 Absatz 1 der NIS-2-Richtlinie). Begründung §28 (4), NIS2UmsuCG Juli 2024

Dadurch ergeben sich in diesen Sektoren potenziell mehrere Geltungsbereiche bei regulierten Einrichtungen und Betreibern, je nach (zusätzlicher) Sektorregulierung:

Übersicht mehrere Geltungsbereiche und Sektorgesetze
Geltungsbereich Abgedeckt Anforderungen
Unternehmen
Einrichtung		 ganze Legaleinheit NIS2-Anforderungen
§30§32§33§35§38
Stromverteilnetz
EnWG-reguliert		 Systeme, Komponenten und Prozesse
für den sicheren Betrieb des Netzes		 Energieanforderungen
§5c-f EnWGIT-SiKat BNetzA
Resilienz-Anforderungen
KRITIS-DachG
NIS2-Anforderungen
§33§34
Telefonnetz
TKG-reguliert		 TK- und DV-Systeme Sicherheitsanforderungen
TKGKatalog BNetzA
NIS2-Anforderungen
§33§34

up

Dokumentation

Geltungsbereichsdokument (GBD)

Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren §30 (1) und im Zweifel BSI und Prüfern nachweisen. Betreiber kritischer Anlagen unterliegen zusätzlich Nachweisprüfungen.

Das Geltungsbereichsdokument ist ein eigenständiges, zusammenhängendes Dokument, das für kritische Anlagen verbindlich und für Einrichtungen empfehlenswert ist. Das BSI hat Empfehlungen und Erfahrungen (2024) aus der Praxis an Geltungsbereiche publiziert. Die Anforderungen an Geltungsbereiche sind in (KRITIS) Nachweisprüfungen verbindlich über GAiN-Anforderungen des BSI.

In Nachweisprüfungen (KRITIS) ist das Geltungsbereich Anlage PD.A des regulierten Betreibers und hat üblicherweise die folgende Struktur und Inhalte:

Kritische Dienstleistung

Der Geltungsbereich beschreibt die vom Betreiber erbrachte kritische Dienstleistung vollständig und exakt: kritische Dienstleistungen sind in der KRITIS-Verordnung definiert, für NIS2-Einrichtungen analog im Annex 1 und 2 als Einrichtungsart. G02

Eine Beschreibung der Wertschöpfungskette im eigenen Unternehmen und die Einbettung der kritischen Dienstleistung hilft bei der Abgrenzung — die kritische Dienstleistung wird in den meisten Fällen nur einen Teil der Leistungen des Unternehmens von KRITIS-Betreibern ausmachen. Der Geltungsbereich muss dies genau definieren. G06 G07

Anlagen

Die registrierte KRITIS-Anlage des Betreibers muss möglichst genau umrissen werden. Die Anlage sollte dazu mit ihren Prozessen und Komponenten exakt eingegrenzt werden auf die Funktion im Sinne der kritischen Dienstleistung. G01

Eine grafische Darstellung der KRITIS-Anlage hilft bei der Definition der Funktionsweise und Abgrenzung zu Schnittstellen, weiteren Unternehmensteilen und auch Externen. Der spätere Netzstrukturplan sollte sich aus dieser Darstellung ableiten lassen.

Prozesse

Die einzelnen, zwingend notwendigen Prozesse innerhalb der KRITIS-Anlage oder Einrichtung zur Funktion der kritischen Dienstleistung sollten genau aufgezählt und beschrieben werden. Es sollten nur diese Prozesse aufgeführt werden, die für die kritische Dienstleistung unbedingt notwendig sind — in der Regel die betrieblichen Kern- oder Leistungsprozesse dieser Anlage. G04

Eine Prozessnotation oder Darstellungsform ist nicht vorgeschrieben, eine Zuordnung der Komponenten zu Prozessen muss allerdings ersichtlich sein. G11

Komponenten (IT und OT)

Die wichtigsten informationstechnischen Systeme, Komponenten und Prozesse der KRITIS-Anlage müssen im Geltungsbereich erfasst und beschrieben werden. Dies umfasst in der Regel IT-Systeme, IT-Anwendungen, Infrastrukturen und auch OT. G05

Es gibt keine normative Festlegung zur Darstellung oder dem Detaillierungsgrad — ein Auszug aus dem Asset-Management bzw. Register mit den für die Prozesse der KRITIS-Anlage notwendigen Systeme samt einer genaueren Beschreibung wäre wünschenswert.

Externe und Schnittstellen

Im Geltungsbereich muss klar ersichtlich sein, ob und welche Teile der IT oder KRITIS-Anlage von Dritten betrieben wird. Dies kann IT-Dienstleister, Infrastrukturanbieter, Cloud- oder auch Outsourcing-Provider umfassen. Die Schnittstellen der KRITIS-Anlage und ihrer IT zu externen Betreibern, Systemen und Infrastrukturen muss ebenfalls klar ersichtlich sein (Wartung, Datenaustausch usw.). G08

Wichtig: für ausgelagerte IT und Komponenten bleibt der Betreiber der KRITIS-Anlage voll verantwortlich. Die Betriebsverantwortung wird durch Verantwortung für Service Management und Dienstleister-Steuerung erweitert — das A verbleibt beim Betreiber.

Netzstrukturplan

Eine der Kernforderungen der Vorgaben ist ein Netzstrukturplan der Kritischen Infrastruktur als Teil des Geltungsbereichs (G12). Es gibt keine normativen Vorgaben zur genauen Darstellung, Form oder Umfang des Netzstrukturplans, aber insgesamt zehn allgemeinere Anforderungen (N01 bis N12) aus GAiN:

  • Der Netzstrukturplan soll die Kritische Infrastruktur und ihren Geltungsbereich überblicksweise beschreiben. N01
  • Alle maßgeblichen Bereiche, Systeme, Komponenten und gegebenenfalls Applikationen N02 werden auf einem angemessenen Abstraktionsniveau N03 dargestellt.
  • Die Aufteilung in Standorte wird im Netzstrukturplan abgebildet N07, zusammen mit den IT-Anbindungen (Netz-Infrastruktur) der Standorte untereinander. N08
  • Kommunikationsschnittstellen nach außen N05, Wartungsschnittstellen N06 und Abhängigkeiten nach außen, wie ausgelagerte Teile der Dienstleistung oder externe Dienstleister N09 werden im Netzstrukturplan ebenfalls erfasst.
  • Zum Netzstrukturplan gibt es notwendige textuelle Erklärungen und Ergänzungen G13 und passende Legenden und Bezeichnungen. N10
  • Im Netzstrukturplan müssen Netztrennungen N11 und Abdeckung durch Systeme zur Angriffserkennung, SzA, N12 kenntlich gemacht werden.

Anmerkung: Der Netzstrukturplan soll mithin keine vertraulichen, proprietären Informationen enthalten oder interne Netzwerkpläne exakt wiedergeben — sondern einen relevanten und angemessenen Überblick der kritischen Dienstleistung und KRITIS-Anlage (was läuft wo).

up

Formelle Anforderungen

Das BSI hat in seinen GAiN-Anforderungen auch Vorgaben für die Dokumentation vom Geltungsbereich und Netzstrukturplan festgelegt. Diese Anforderungen G01 bis N12 sind für Betreiber kritischer Anlagen (KRITIS) verbindlich, für Einrichtungen eine Orientierung.

Anforderungen aus BSI GAiN, Version 2.0 2024
Nr. Anforderung Bezug
Dokumentation vom Geltungsbereich (GBD)
G01 Die Anlage ist erkennbar und nachvollziehbar beschrieben. KRITIS-Anlage
G02 Die vom Betreiber erbrachten Teile der kDL sind erkennbar und nachvollziehbar beschrieben. Kritische Dienstleistung
G03 entfallen ab 2025
G04 Alle für die kDL maßgeblichen Prozesse sind erfasst. Prozesse
G05 Alle für die kDL maßgeblichen Systeme, Komponenten und ggf. Applikationen sind erfasst. Komponenten (IT und OT)
G06 Alle Bereiche der KRITIS gehen aus dem eingereichten Geltungsbereich hervor. Kritische Dienstleistung
G07 Die Grenzen des Geltungsbereiches sind klar erkennbar. Kritische Dienstleistung
G08 Schnittstellen zu Prozessen, Systemen außerhalb des Geltungsbereiches beschrieben Externe und Schnittstellen
G09 entfallen ab 2025
G10 Durch Dritte betriebene Teile der KRITIS sind erkennbar und nachvollziehbar beschrieben. Externe und Schnittstellen
G11 Der Geltungsbereich ermöglicht eine Zuordnung zwischen Prozessen und zugehörigen notwendigen Systemen, Komponenten und ggf. Applikationen. Prozesse
G12 Der Geltungsbereich ist in einem Netzstrukturplan dargestellt. Netzstrukturplan
G13 Zum Verständnis notwendige schriftliche Ergänzungen zum Netzstrukturplan wurden vorgenommen. Netzstrukturplan
Netzstrukturplan (NSP)
N01 Der Netzstrukturplan bietet einen Überblick über den Geltungsbereich. Netzstrukturplan
N02 Alle maßgeblichen Systeme, Komponenten und ggf. Applikationen sind dargestellt. Netzstrukturplan
N03 Das Abstraktionsniveau ist passend gewählt worden. Netzstrukturplan
N04 entfallen ab 2025 Netzstrukturplan
N05 Alle Kommunikationsschnittstellen nach außen sind dargestellt. Netzstrukturplan
N06 Wartungsschnittstellen sind abgebildet, sofern sie dauerhaft freigeschaltet sind. Netzstrukturplan
N07 Der Netzstrukturplan gibt eine ggf. existierende Aufteilung in Standorte wieder. Netzstrukturplan
N08 Die IT-Anbindungen verschiedener Standorte zueinander sind dargestellt. Netzstrukturplan
N09 Ausgelagerte Dienstleistungen sind dargestellt. Netzstrukturplan
N10 Funktionale Bezeichnungen und Legenden liegen nötigenfalls vor und sind verständlich. Netzstrukturplan
N11 Netztrennung und Separierung einzeichnen. Netzstrukturplan
N12 Abdeckung Geltungsbereich durch Systeme zur Angriffserkennung (SzA) sind kenntlich gemacht. Netzstrukturplan

up

Weitere Informationen

Literatur

  1. Zur Dokumentation des Geltungsbereiches bei KRITIS-Betreibern, Erfahrungen aus den Nachweisen, Bundesamt für Sicherheit in der Informationstechnik, Version 2.0, 15.08.2024
  2. Informationen zur Wahl des Geltungsbereichs, Infos für Prüfer, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  3. Anforderungen an KRITIS-Prüfungen GAiN & RUN, OpenKRITIS 2025

Quellen

  1. Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 24.03.2025, Version 2.1
  2. Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a (2) BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.3, 23.02.2024
  3. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  4. Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) von 2016, geändert 2025