KRITIS-Geltungsbereich

Nach Feststellung der eigenen Betroffenheit müssen Betreiber den Geltungsbereich der KRITIS-Anlagen im eigenen Unternehmen definieren. Dieser Geltungsbereich beschreibt und dokumentiert pro Anlage die für den Betrieb notwendigen Prozesse und Technologien (IT und OT) und ist im weiteren Verlauf relevant für:

  1. Cyber Security Maßnahmen: Der Geltungsbereich definiert die Grenzen der in den KRITIS-Anlagen notwendigen Sicherheitsvorkehrungen.
  2. BSIG Nachweisprüfungen: Bei der Prüfung der Sicherheitsvorkehrungen in den KRITIS-Anlagen definiert der Geltungsbereich den Scope für die KRITIS-Prüfer und wird vor Beginn der Prüfung genau untersucht.

Der KRITIS-Geltungsbereich wird als ein eigenständiges, zusammenhängendes Dokument pro KRITIS-Anlage vom Betreiber erstellt. Das BSI hat hierzu Empfehlungen und Anforderungen an Geltungsbereiche publiziert.

Dokument Geltungsbereich

Der Geltungsbereich legt alle Prozesse, Komponenten und IT-Systeme der registrierten und zu prüfenden KRITIS-Anlagen fest, die für die Funktion der kritischen Dienstleistung zur Gewährleistung der Versorgungssicherheit notwendig sind. Diese Festlegungen werden im Dokument Geltungsbereich durch KRITIS-Betreiber dokumentiert und als Anlage PD.A in der KRITIS-Prüfung verwendet.

Die folgenden Ausführungen referenzieren die BSI-Anforderungen G01-G13/N01-N10 aus der Orientierungshilfe Nachweise (OH-N), Anhang C. Siehe dazu auch »Informationen zur Wahl des Geltungsbereichs« des BSI und die Tabelle auf dieser Seite unten.

Kritische Dienstleistung

Der Geltungsbereich sollte die vom Betreiber erbrachten Teile der kritischen Dienstleistung vollständig und exakt beschreiben. Dies umfasst eine genaue Würdigung der in der KRITIS-Verordnung definierten Dienstleistungen und ihrer Bereiche im eigenen Unternehmen.

Eine Beschreibung der Wertschöpfungskette im eigenen Unternehmen und die Einbettung der kritischen Dienstleistung hilft bei der Abgrenzung — die kritischen Dienstleistung wird in den meisten Fällen nur einen Teil der Leistungen des Unternehmens von KRITIS-Betreibern ausmachen. Der Geltungsbereich sollte dies genau definieren.

Anforderung G02, G06, G07

KRITIS-Anlagen

Die registrierte KRITIS-Anlage sollte beim Betreiber möglichst genau umrissen werden. Die Anlage sollte dazu mit ihren Prozessen und Komponenten exakt eingegrenzt werden auf die Funktion im Sinne der kritischen Dienstleistung.

Eine grafische Darstellung der KRITIS-Anlage hilft bei der Definition der Funktionsweise und Abgrenzung zu Schnittstellen, weiteren Unternehmensteilen und auch Externen. Der spätere Netzstrukturplan sollte sich aus dieser Darstellung ableiten lassen.

Anforderung G01, G03

Prozesse

Die einzelnen, zwingend notwendigen Prozesse innerhalb der KRITIS-Anlage zur Funktion der kritischen Dienstleistung sollte genau aufgezählt und beschrieben werden. Es sollten nur diese Prozesse aufgeführt werden, die für die kritische Dienstleistung unbedingt notwendig sind — in der Regel die betrieblichen Kern- oder Leistungsprozesse dieser Anlage.

Eine Prozessnotation oder Darstellungsform ist nicht vorgeschrieben, eine Zuordnung der Komponenten zu Prozessen sollte allerdings ersichtlich sein.

Anforderung G04, G11

Komponenten (IT und OT)

Die wichtigsten informationstechnischen Systeme, Komponenten und Prozesse der KRITIS-Anlage müssen im Geltungsbereich erfasst und beschrieben werden. Dies umfasst in der Regel IT-Systeme, IT-Anwendungen, Infrastrukturen und auch OT.

Es gibt keine normative Festlegung zur Darstellung oder dem Detaillierungsgrad — ein Auszug aus dem Asset-Management bzw. Register mit den für die Prozesse der KRITIS-Anlage notwendigen Systeme samt einer genaueren Beschreibung wäre wünschenswert.

Anforderung G05

2.0 Der Aufwand im Geltungsbereich für IT-Systeme wird mit dem IT-Sicherheitsgesetz 2.0 wahrscheinlich zunehmen — durch ein notwendiges Inventar der eingesetzten IT und OT-Produkte und möglicherweise auch zulassungspflichtige kritische Komponenten.

Externe und Schnittstellen

Im Geltungsbereich muss klar ersichtlich sein, ob und welche Teile der IT oder KRITIS-Anlage von Dritten betrieben wird. Dies kann IT-Dienstleister, Infrastrukturanbieter, Cloud- oder auch Outsourcing-Provider umfassen. Die Schnittstellen und Abhängigkeiten der KRITIS-Anlage und ihrer IT zu externen Betreibern, Systemen und Infrastrukturen muss ebenfalls klar ersichtlich sein (Wartung, Datenaustausch usw.).

Wichtig: für ausgelagerte IT und Komponenten bleibt der Betreiber der KRITIS-Anlage voll verantwortlich. Die Betriebsverantwortung wird durch Verantwortung für Service Management und Dienstleister-Steuerung erweitert — das A verbleibt beim KRITIS-Betreiber.

Anforderung G08, G09, G10

Netzstrukturplan

Eine der Kernforderungen der Vorgaben ist ein Netzstrukturplan der Kritischen Infrastruktur als Teil des Geltungsbereiches (G12). Es gibt keine normative Vorgaben zur genauen Darstellung, Form oder Umfang des Netzstrukturplans, aber insgesamt zehn allgemeinere Anforderungen (N01 bis N10) aus der Orientierungshilfe:

  1. Der Netzstrukturplan soll die Kritische Infrastruktur überblicksweise (N01) mit den relevanten Elementen der kritischen Dienstleistung (N04) beschreiben.
  2. Alle maßgeblichen Bereiche, Systeme, Komponenten und gegebenenfalls Applikationen (N02) werden auf einem angemessenen Abstraktionsniveau (N03) dargestellt.
  3. Aufteilung in Standorte werden im Netzstrukturplan abgebildet (N07), zusammen mit den IT-Anbindungen (Netz-Infrastruktur) der Standorte untereinander (N08).
  4. Kommunikationsschnittstellen nach außen (N05), Wartungsschnittstellen (N06) und Abhängigkeiten nach außen, wie ausgelagerte Teile der Dienstleistung oder externe Dienstleister (N09) werden im Netzstrukturplan ebenfalls erfasst.
  5. Zum Netzstrukturplan gibt es notwendige textuelle Erklärungen und Ergänzungen (G13) und passende Legenden und Bezeichnungen (N10).

Anmerkung: Der Netzstrukturplan soll mithin keine vertraulichen, proprietären Informationen enthalten oder interne Netzwerkpläne exakt wiedergeben — sondern einen relevanten und angemessenen Überblick der kritischen Dienstleistung und KRITIS-Anlage (was läuft wo).

Anforderung G12, G13, N01 bis N10

Weitere Informationen

Literatur

  1. Informationen zur Wahl des Geltungsbereichs, Infos für Prüfer, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Quellen

  1. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, 28.08.2020
  2. Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a (2) BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, September 2021
  3. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  4. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist

Anforderungen

Anforderungen aus BSI OH-N, Version 1.1 2020
Nr. Anforderung
Geltungsbereich
G01 Die Anlage ist erkennbar und nachvollziehbar beschrieben.
G02 Die vom Betreiber erbrachten Teile der kDL sind erkennbar und nachvollziehbar beschrieben
G03 Die Darstellung enthält alle wesentlichen Merkmale der Anlagenkategorie.
G04 Alle für die kDL maßgeblichen Prozesse sind erfasst.
G05 Alle für die kDL maßgeblichen Systeme, Komponenten und ggf. Applikationen sind erfasst.
G06 Alle Bereiche der KRITIS gehen aus dem eingereichten Geltungsbereich hervor.
G07 Die Grenzen des Geltungsbereiches sind klar erkennbar.
G08 Die Schnittstellen zu außerhalb des Geltungsbereich liegenden Prozessen, Systemen, Komponenten und ggf. Applikationen sind erkennbar und nachvollziehbar beschrieben
G09 Die Abhängigkeiten zu außerhalb des Geltungsbereich liegenden Prozessen, Systemen, Komponenten und ggf. Applikationen sind erkennbar und nachvollziehbar beschrieben.
G10 Durch Dritte betriebene Teile der KRITIS sind erkennbar und nachvollziehbar beschrieben.
G11 Der Geltungsbereich ermöglicht eine Zuordnung zwischen Prozessen und zugehörigen notwendigen Systemen, Komponenten und ggf. Applikationen.
G12 Der Geltungsbereich ist in einem Netzstrukturplan dargestellt.
G13 Zum Verständnis notwendige schriftliche Ergänzungen zum Netzstrukturplan wurden vorgenommen
Netzstrukturplan (NSP)
N01 Der Netzstrukturplan bietet einen Überblick über den Geltungsbereich.
N02 Alle maßgeblichen Systeme, Komponenten und ggf. Applikationen sind dargestellt.
N03 Das Abstraktionsniveau ist passend gewählt worden.
N04 Die Relevanz einzelner Elemente des Netzstrukturplans für die kDL ist ersichtlich.
N05 Alle Kommunikationsschnittstellen nach außen sind dargestellt.
N06 Wartungsschnittstellen sind abgebildet, sofern sie dauerhaft freigeschaltet sind
N07 Der Netzstrukturplan gibt eine ggf. existierende Aufteilung in Standorte wieder
N08 Die IT-Anbindungen verschiedener Standorte zueinander sind dargestellt
N09 Ausgelagerte Dienstleistungen sind dargestellt
N10 Funktionale Bezeichnungen und Legenden liegen nötigenfalls vor und sind verständlich