KRITIS-Geltungsbereich

Nach Feststellung der eigenen Betroffenheit müssen Betreiber den Geltungsbereich der KRITIS-Anlagen im eigenen Unternehmen definieren. Dieser Geltungsbereich beschreibt und dokumentiert pro Anlage die für den Betrieb notwendigen Prozesse und Technologien (IT und OT) und ist im weiteren Verlauf relevant für:

  1. Cyber Security Maßnahmen: Der Geltungsbereich definiert die Grenzen der in den KRITIS-Anlagen notwendigen Sicherheitsvorkehrungen.
  2. BSIG Nachweisprüfungen: Bei der Prüfung der Sicherheitsvorkehrungen in den KRITIS-Anlagen definiert der Geltungsbereich den Scope für die KRITIS-Prüfer und wird vor Beginn der Prüfung genau untersucht.

Definition

Der Geltungsbereich sollte die Gesamtheit an Prozessen, Komponenten und IT-Systemen der registrierten KRITIS-Anlagen beschreiben, die für die Funktion der kritischen Dienstleistung (zur Gewährleistung der Versorgungssicherheit) beim KRITIS-Betreiber notwendig sind.

Die folgenden Ausführungen referenzieren die Anforderungen (G/N) aus den »Informationen zur Wahl des Geltungsbereichs« des BSI.

Kritische Dienstleistung

Der Geltungsbereich sollte die vom Betreiber erbrachten Teile der kritischen Dienstleistung vollständig und exakt beschreiben. Dies umfasst eine genaue Würdigung der in der KRITIS-Verordnung definierten Dienstleistungen und ihrer Bereiche im eigenen Unternehmen.

Eine Beschreibung der Wertschöpfungskette im eigenen Unternehmen und die Einbettung der kritischen Dienstleistung hilft bei der Abgrenzung — die kritischen Dienstleistung wird in den meisten Fällen nur einen Teil der Leistungen des Unternehmens von KRITIS-Betreibern ausmachen. Der Geltungsbereich sollte dies genau definieren.

Anforderung G02, G06, G07

KRITIS-Anlagen

Die registrierte KRITIS-Anlage sollte beim Betreiber möglichst genau umrissen werden. Die Anlage sollte dazu mit ihren Prozessen und Komponenten exakt eingegrenzt werden auf die Funktion im Sinne der kritischen Dienstleistung.

Eine grafische Darstellung der KRITIS-Anlage hilft bei der Definition der Funktionsweise und Abgrenzung zu Schnittstellen, weiteren Unternehmensteilen und auch Externen. Der spätere Netzstrukturplan sollte sich aus dieser Darstellung ableiten lassen.

Anforderung G01, G03

Prozesse

Die einzelnen, zwingend notwendigen Prozesse innerhalb der KRITIS-Anlage zur Funktion der kritischen Dienstleistung sollte genau aufgezählt und beschrieben werden. Es sollten nur diese Prozesse aufgeführt werden, die für die kritische Dienstleistung unbedingt notwendig sind — in der Regel die betrieblichen Kern- oder Leistungsprozesse dieser Anlage.

Eine Prozessnotation oder Darstellungsform ist nicht vorgeschrieben, eine Zuordnung der Komponenten zu Prozessen sollte allerdings ersichtlich sein.

Anforderung G04, G11

Komponenten (IT und OT)

Die wichtigsten informationstechnischen Systeme, Komponenten und Prozesse der KRITIS-Anlage müssen im Geltungsbereich erfasst und beschrieben werden. Dies umfasst in der Regel IT-Systeme, IT-Anwendungen, Infrastrukturen und auch OT.

Es gibt keine normative Festlegung zur Darstellung oder dem Detaillierungsgrad — ein Auszug aus dem Asset-Management bzw. Register mit den für die Prozesse der KRITIS-Anlage notwendigen Systeme samt einer genaueren Beschreibung wäre wünschenswert.

Anforderung G05

2.0 Der Aufwand im Geltungsbereich für IT-Systeme wird mit dem IT-Sicherheitsgesetz 2.0 wahrscheinlich zunehmen — durch ein notwendiges Inventar der eingesetzten IT und OT-Produkte und möglicherweise auch zulassungspflichtige kritische Komponenten.

Externe und Schnittstellen

Im Geltungsbereich muss klar ersichtlich sein, ob und welche Teile der IT oder KRITIS-Anlage von Dritten betrieben wird. Dies kann IT-Dienstleister, Infrastrukturanbieter, Cloud- oder auch Outsourcing-Provider umfassen. Die Schnittstellen und Abhängigkeiten der KRITIS-Anlage und ihrer IT zu externen Betreibern, Systemen und Infrastrukturen muss ebenfalls klar ersichtlich sein (Wartung, Datenaustausch usw.).

Wichtig: für ausgelagerte IT und Komponenten bleibt der Betreiber der KRITIS-Anlage voll verantwortlich. Die Betriebsverantwortung wird durch Verantwortung für Service Management und Dienstleister-Steuerung erweitert — das A verbleibt beim KRITIS-Betreiber.

Anforderung G08, G09, G10

Netzstrukturplan

Eine der Kernforderungen der Vorgaben ist ein Netzstrukturplan der Kritischen Infrastruktur als Teil des Geltungsbereiches (G12). Es gibt keine normative Vorgaben zur genauen Darstellung, Form oder Umfang des Netzstrukturplans, aber insgesamt zehn allgemeinere Anforderungen (N01 bis N10) aus der Orientierungshilfe:

  1. Der Netzstrukturplan soll die Kritische Infrastruktur überblicksweise (N01) mit den relevanten Elementen der kritischen Dienstleistung (N04) beschreiben.
  2. Alle maßgeblichen Bereiche, Systeme, Komponenten und gegebenenfalls Applikationen (N02) werden auf einem angemessenen Abstraktionsniveau (N03) dargestellt.
  3. Aufteilung in Standorte werden im Netzstrukturplan abgebildet (N07), zusammen mit den IT-Anbindungen (Netz-Infrastruktur) der Standorte untereinander (N08).
  4. Kommunikationsschnittstellen nach außen (N05), Wartungsschnittstellen (N06) und Abhängigkeiten nach außen, wie ausgelagerte Teile der Dienstleistung oder externe Dienstleister (N09) werden im Netzstrukturplan ebenfalls erfasst.
  5. Zum Netzstrukturplan gibt es notwendige textuelle Erklärungen und Ergänzungen (G13) und passende Legenden und Bezeichnungen (N10).

Anmerkung: Der Netzstrukturplan soll mithin keine vertraulichen, proprietären Informationen enthalten oder interne Netzwerkpläne exakt wiedergeben — sondern einen relevanten und angemessenen Überblick der kritischen Dienstleistung und KRITIS-Anlage (was läuft wo).

Anforderung G12, G13, N01 bis N10

Weitere Informationen

Literatur

  1. Informationen zur Wahl des Geltungsbereichs, Infos für Prüfer, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Quellen

  1. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, 21.08.2020
  2. Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a (2) BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 1.12.2017
  3. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  4. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist