Geltungsbereich
Nach der Identifikation als Kritische Infrastruktur müssen Betreiber im eigenen Unternehmen den Geltungsbereich der KRITIS-Anlagen definieren. Dieser Bereich beschreibt pro Anlage die für den Betrieb notwendigen Prozesse und Technologien (IT, OT, Kommunikation) und ist im weiteren Verlauf relevant für:
- Umsetzung Cybersecurity: Der Geltungsbereich definiert den notwendigen Scope der in KRITIS-Anlagen notwendigen Sicherheitsvorkehrungen.
- BSIG Nachweisprüfungen: Bei der Prüfung der Sicherheitsvorkehrungen in den KRITIS-Anlagen definiert der Geltungsbereich den Audit-Scope für die KRITIS-Prüfer.
Der KRITIS-Geltungsbereich wird als ein eigenständiges, zusammenhängendes Dokument pro KRITIS-Anlage vom Betreiber erstellt. Das BSI hat hierzu Empfehlungen und Erfahrungen aus der Praxis an Geltungsbereiche publiziert. Die Anforderungen an Geltungsbereiche sind mittlerweile für KRITIS-Prüfung normativ verbindlich über GAiN.
Dokumentation vom Geltungsbereich
Geltungsbereich
Der Geltungsbereich legt alle Prozesse, Komponenten und IT-Systeme der registrierten und zu prüfenden KRITIS-Anlagen fest, die für die Funktion der kritischen Dienstleistung zur Gewährleistung der Versorgungssicherheit notwendig sind.
Diese Festlegungen werden in der Dokumentation vom Geltungsbereich durch Betreiber in einem eigenen Dokument beschrieben und als Anlage PD.A in der KRITIS-Prüfung verwendet.
Die folgenden Ausführungen referenzieren die BSI-Anforderungen G01-G13/N01-N12 aus der Orientierungshilfe Nachweise (OH-N), Anhang C. Siehe dazu auch »Informationen zur Wahl des Geltungsbereichs« des BSI und die Tabelle auf dieser Seite unten.
Kritische Dienstleistung
Der Geltungsbereich sollte die vom Betreiber erbrachten Teile der kritischen Dienstleistung vollständig und exakt beschreiben. Dies umfasst eine genaue Würdigung der in der KRITIS-Verordnung definierten Dienstleistungen und ihrer Bereiche im eigenen Unternehmen.
Eine Beschreibung der Wertschöpfungskette im eigenen Unternehmen und die Einbettung der kritischen Dienstleistung hilft bei der Abgrenzung — die kritische Dienstleistung wird in den meisten Fällen nur einen Teil der Leistungen des Unternehmens von KRITIS-Betreibern ausmachen. Der Geltungsbereich sollte dies genau definieren.
Anforderung G02, G06, G07
KRITIS-Anlagen
Die registrierte KRITIS-Anlage sollte beim Betreiber möglichst genau umrissen werden. Die Anlage sollte dazu mit ihren Prozessen und Komponenten exakt eingegrenzt werden auf die Funktion im Sinne der kritischen Dienstleistung.
Eine grafische Darstellung der KRITIS-Anlage hilft bei der Definition der Funktionsweise und Abgrenzung zu Schnittstellen, weiteren Unternehmensteilen und auch Externen. Der spätere Netzstrukturplan sollte sich aus dieser Darstellung ableiten lassen.
Anforderung G01, G03
Prozesse
Die einzelnen, zwingend notwendigen Prozesse innerhalb der KRITIS-Anlage zur Funktion der kritischen Dienstleistung sollten genau aufgezählt und beschrieben werden. Es sollten nur diese Prozesse aufgeführt werden, die für die kritische Dienstleistung unbedingt notwendig sind — in der Regel die betrieblichen Kern- oder Leistungsprozesse dieser Anlage.
Eine Prozessnotation oder Darstellungsform ist nicht vorgeschrieben, eine Zuordnung der Komponenten zu Prozessen sollte allerdings ersichtlich sein.
Anforderung G04, G11
Komponenten (IT und OT)
Die wichtigsten informationstechnischen Systeme, Komponenten und Prozesse
der KRITIS-Anlage müssen im Geltungsbereich erfasst und beschrieben werden.
Dies umfasst in der Regel IT-Systeme, IT-Anwendungen, Infrastrukturen und auch OT.
Es gibt keine normative Festlegung zur Darstellung oder dem Detaillierungsgrad — ein Auszug aus dem Asset-Management bzw. Register mit den für die Prozesse der KRITIS-Anlage notwendigen Systeme samt einer genaueren Beschreibung wäre wünschenswert.
Anforderung G05
Externe und Schnittstellen
Im Geltungsbereich muss klar ersichtlich sein, ob und welche Teile der IT oder KRITIS-Anlage von Dritten betrieben wird. Dies kann IT-Dienstleister, Infrastrukturanbieter, Cloud- oder auch Outsourcing-Provider umfassen. Die Schnittstellen der KRITIS-Anlage und ihrer IT zu externen Betreibern, Systemen und Infrastrukturen muss ebenfalls klar ersichtlich sein (Wartung, Datenaustausch usw.).
Wichtig: für ausgelagerte IT und Komponenten bleibt der Betreiber der KRITIS-Anlage voll verantwortlich. Die Betriebsverantwortung wird durch Verantwortung für Service Management und Dienstleister-Steuerung erweitert — das A verbleibt beim KRITIS-Betreiber.
Anforderung G08, G10
Netzstrukturplan
Eine der Kernforderungen der Vorgaben ist ein Netzstrukturplan der Kritischen Infrastruktur als Teil des Geltungsbereichs (G12). Es gibt keine normativen Vorgaben zur genauen Darstellung, Form oder Umfang des Netzstrukturplans, aber insgesamt zehn allgemeinere Anforderungen (N01 bis N12) aus der Orientierungshilfe:
- Der Netzstrukturplan soll die Kritische Infrastruktur und ihren Geltungsbereich überblicksweise (N01) beschreiben.
- Alle maßgeblichen Bereiche, Systeme, Komponenten und gegebenenfalls Applikationen (N02) werden auf einem angemessenen Abstraktionsniveau (N03) dargestellt.
- Die Aufteilung in Standorte wird im Netzstrukturplan abgebildet (N07), zusammen mit den IT-Anbindungen (Netz-Infrastruktur) der Standorte untereinander (N08).
- Kommunikationsschnittstellen nach außen (N05), Wartungsschnittstellen (N06) und Abhängigkeiten nach außen, wie ausgelagerte Teile der Dienstleistung oder externe Dienstleister (N09) werden im Netzstrukturplan ebenfalls erfasst.
- Zum Netzstrukturplan gibt es notwendige textuelle Erklärungen und Ergänzungen (G13) und passende Legenden und Bezeichnungen (N10).
- Im Netzstrukturplan müssen Netztrennungen (N11) und Abdeckung durch Systeme zur Angriffserkennung, SzA, (N12) kenntlich gemacht werden.
Anmerkung: Der Netzstrukturplan soll mithin keine vertraulichen, proprietären Informationen enthalten oder interne Netzwerkpläne exakt wiedergeben — sondern einen relevanten und angemessenen Überblick der kritischen Dienstleistung und KRITIS-Anlage (was läuft wo).
Anforderung G12, G13, N01 bis N12
Formelle Anforderungen
Die formellen Anforderungen aus der Orientierungshilfe Nachweise (OH-N) des BSI sind seit 2023 für Geltungsbereiche verbindlich in Prüfungen (GAiN).
Nr. | Anforderung |
---|---|
Geltungsbereich | |
G01 | Die Anlage ist erkennbar und nachvollziehbar beschrieben. |
G02 | Die vom Betreiber erbrachten Teile der kDL sind erkennbar und nachvollziehbar beschrieben. |
G03 | Die Darstellung enthält alle wesentlichen Merkmale der Anlagenkategorie. |
G04 | Alle für die kDL maßgeblichen Prozesse sind erfasst. |
G05 | Alle für die kDL maßgeblichen Systeme, Komponenten und ggf. Applikationen sind erfasst. |
G06 | Alle Bereiche der KRITIS gehen aus dem eingereichten Geltungsbereich hervor. |
G07 | Die Grenzen des Geltungsbereiches sind klar erkennbar. |
G08 | entfällt seit 202408. |
G09 | Die Abhängigkeiten zu außerhalb des Geltungsbereich liegenden Prozessen, Systemen, Komponenten und ggf. Applikationen sind erkennbar und nachvollziehbar beschrieben. |
G10 | Durch Dritte betriebene Teile der KRITIS sind erkennbar und nachvollziehbar beschrieben. |
G11 | Der Geltungsbereich ermöglicht eine Zuordnung zwischen Prozessen und zugehörigen notwendigen Systemen, Komponenten und ggf. Applikationen. |
G12 | Der Geltungsbereich ist in einem Netzstrukturplan dargestellt. |
G13 | Zum Verständnis notwendige schriftliche Ergänzungen zum Netzstrukturplan wurden vorgenommen. |
Netzstrukturplan (NSP) | |
N01 | Der Netzstrukturplan bietet einen Überblick über den Geltungsbereich. |
N02 | Alle maßgeblichen Systeme, Komponenten und ggf. Applikationen sind dargestellt. |
N03 | Das Abstraktionsniveau ist passend gewählt worden. |
N04 | entfällt seit 202408. |
N05 | Alle Kommunikationsschnittstellen nach außen sind dargestellt. |
N06 | Wartungsschnittstellen sind abgebildet, sofern sie dauerhaft freigeschaltet sind. |
N07 | Der Netzstrukturplan gibt eine ggf. existierende Aufteilung in Standorte wieder. |
N08 | Die IT-Anbindungen verschiedener Standorte zueinander sind dargestellt. |
N09 | Ausgelagerte Dienstleistungen sind dargestellt. |
N10 | Funktionale Bezeichnungen und Legenden liegen nötigenfalls vor und sind verständlich. |
N11 | Netztrennung und Separierung einzeichnen. |
N12 | Abdeckung durch Systeme zur Angriffserkennung (SzA) kenntnlich gemacht. |
Weitere Informationen
Literatur
- Zur Dokumentation des Geltungsbereiches bei KRITIS-Betreibern, Erfahrungen aus den Nachweisen, Bundesamt für Sicherheit in der Informationstechnik, 28.06.2022
- Informationen zur Wahl des Geltungsbereichs, Infos für Prüfer, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Quellen
- Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12.05.2023
- Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a (2) BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.3, 23.02.2024
- Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist