Geltungsbereich
Nach der Identifikation als NIS2-Einrichtung oder Betreiber kritischer Anlagen muss im eigenen Unternehmen der Geltungsbereich definiert werden, in dem NIS2- und KRITIS-Pflichten umgesetzt werden. Dieser Bereich beschreibt die für eine NIS2-Dienstleistung oder kritische Anlage (KRITIS) notwendigen Prozesse und Technologien wie IT, OT und Kommunikation.
Der Geltungsbereich, in dem Unternehmen Maßnahmen umsetzen müssen, erweitert sich durch NIS2 meist auf die ganze Legaleinheit (Einrichtung). In einigen Sektoren fallen Unternehmen unter zusätzliche Regulierung neben NIS2 wie Sektorgesetze oder KRITIS, und müssen dann Vorgaben und Schutzmaßnahmen mehrerer Gesetze in Geltungsbereich(en) umsetzen.
Die Referenzen im Text sind zum BSIG-E und zu GAiN
Betroffenheit in Unternehmen
Geltungsbereich
Der Geltungsbereich regulierter Unternehmen definiert und beschreibt den regulierten Bereich samt seiner notwendigen Prozesse und Technologiekomponenten. Im Vergleich zur bisherigen KRITIS-Regulierung erweitert NIS2 den Geltungsbereich in betroffenen Unternehmen deutlich. Zukünftig fallen große Teile von Unternehmen unter die Regulierung.
Der Geltungsbereich muss von regulierten Einrichtungen und Betreibern selbst im Detail definiert und in einem Geltungsbereichsdokument beschrieben werden.
Einrichtungen (NIS2)
Der Geltungsbereich von wichtigen und besonders wichtigen Einrichtungen ist unter NIS2 sehr umfangreich: Begründung zu §30
- Der Geltungsbereich umfasst
sämtliche IT-Systeme, Komponenten und Prozesse, die für die Erbringung der Dienste genutzt werden.
- Mit den Diensten meint der Gesetzgeber
sämtliche Aktivitäten der Einrichtung, für die IT-Systeme eingesetzt werden, dies beinhaltet beispielsweise auch Büro-IT oder andere IT-Systeme, die durch die Einrichtung betrieben werden
. - Die Maßnahmen im Geltungsbereich sollen in einem
angemessenen Verhältnis zu den Risiken stehen
und denunterschiedlichen Grad der Risikoexposition
berücksichtigen. - Der Geltungsbereich ist auf die regulierte Legaleinheit beschränkt.
Betreiber kritischer Anlagen (KRITIS)
Der Geltungsbereich mit höheren Anforderungen für kritische Anlagen umfasst wie bisher bei KRITIS die Anlage selbst und die regulierte kritische Dienstleistung: §31
- Geltungsbereich für §31 und §39 Maßnahmen sind die
IT-Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind
, d.h. die KRITIS-Anlage und notwendige und unterstützende Infrastruktur. - Wohlgemerkt bleibt der Rest der Einrichtung außerhalb der Anlage auch reguliert nach §30, s.o.
Logische Darstellung (Beispiel)
Die verschiedenen Scopes können wie folgt in einem Geltungsbereich dargestellt werden: umfasst den KRITIS-Bereich (kritische Anlage), während die gesamte Einrichtung (NIS2) umfasst. Es gibt Überschneidungen und Randbereiche (non-NIS2), die auch dazu gehören.
Die Maßnahmen der einzelnen Scopes werden im nächsten Abschnitt definiert.
Maßnahmen
Im regulierten Geltungsbereich müssen Einrichtungen für NIS2 geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. §30 (1)
Bei der Bewertung der Verhältnismäßigkeit von Maßnahmen sollen Risikoexposition, Größe der Einrichtung, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie deren gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigt werden – Maßnahmen sollen risikoorientiert gewählt werden. §30 (1)
Speziell für kritische Anlagen
Betreiber kritischer Anlagen gelten unabhängig von der Unternehmensgröße ebenfalls als besonders wichtige Einrichtung – sie haben damit einen NIS2-Geltungsbereich und als Teilmenge davon einen KRITIS-Geltungsbereich für den Anlagenbetrieb, für den zusätzliche erhöhte Anforderungen gelten.
Der KRITIS-Geltungsbereich legt alle Prozesse, Komponenten und IT-Systeme der registrierten und zu prüfenden KRITIS-Anlagen fest, die für die Funktion der kritischen Dienstleistung zur Gewährleistung der Versorgungssicherheit notwendig sind.
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Einrichtung | ganze Legaleinheit | NIS2-Anforderungen §30§32§33§35§38 |
| Kritische Anlage wenn vorhanden |
Systeme, Komponenten und Prozesse der kritischen Dienstleistung (Anlage) |
NIS2 und KRITIS-Anforderungen §30§31§32§33§35§38§39 Resilienz-Anforderungen KRITIS-DachG |
Sektorregulierung
Mehrere Geltungsbereiche
Im Sektor Energie und IT und TK unterliegen Unternehmen sektorspezifischer Regelungen für bestimmte Teilbereiche im Unternehmen:
- Betreiber von öffentlichen Telekommunikationsnetzen oder Erbringer von öffentlich zugänglichen Telekommunikationsdiensten fallen unter das TKG
- Betreiber von Energieversorgungsnetzen, Energieanlagen oder digitalen Energiediensten fallen unter das EnWG
Durch die Ausnahmeregelungen in §28 (4)(5) sollen keine Lücken in der Informationssicherheit entstehen. Deshalb gelten sie nur für Teile des Unternehmens, die der Sektorregulierung unterliegen. Im Ergebnis [...] [sollen] alle IT-Systeme einer Einrichtung einer Regulierung [unterliegen] (so
auch die Vorgabe aus Artikel 21 Absatz 1 der NIS-2-Richtlinie).
Begründung §28 (4), NIS2UmsuCG Juli 2024
Dadurch ergeben sich in diesen Sektoren potenziell mehrere Geltungsbereiche bei regulierten Einrichtungen und Betreibern, je nach (zusätzlicher) Sektorregulierung:
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Unternehmen Einrichtung |
ganze Legaleinheit | NIS2-Anforderungen §30§32§33§35§38 |
| Stromverteilnetz EnWG-reguliert |
Systeme, Komponenten und Prozesse für den sicheren Betrieb des Netzes |
Energieanforderungen §5c-f EnWGIT-SiKat BNetzA Resilienz-Anforderungen KRITIS-DachG NIS2-Anforderungen §33§34 |
| Telefonnetz TKG-reguliert |
TK- und DV-Systeme | Sicherheitsanforderungen TKGKatalog BNetzA NIS2-Anforderungen §33§34 |
Dokumentation
Geltungsbereichsdokument (GBD)
Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren §30 (1) und im Zweifel BSI und Prüfern nachweisen. Betreiber kritischer Anlagen unterliegen zusätzlich Nachweisprüfungen.
Das Geltungsbereichsdokument ist ein eigenständiges, zusammenhängendes Dokument, das für kritische Anlagen verbindlich und für Einrichtungen empfehlenswert ist. Das BSI hat Empfehlungen und Erfahrungen (2024) aus der Praxis an Geltungsbereiche publiziert. Die Anforderungen an Geltungsbereiche sind in (KRITIS) Nachweisprüfungen verbindlich über GAiN-Anforderungen des BSI.
In Nachweisprüfungen (KRITIS) ist das Geltungsbereich Anlage PD.A des regulierten Betreibers und hat üblicherweise die folgende Struktur und Inhalte:
Kritische Dienstleistung
Der Geltungsbereich beschreibt die vom Betreiber erbrachte kritische Dienstleistung vollständig und exakt: kritische Dienstleistungen sind in der KRITIS-Verordnung definiert, für NIS2-Einrichtungen analog im Annex 1 und 2 als Einrichtungsart. G02
Eine Beschreibung der Wertschöpfungskette im eigenen Unternehmen und die Einbettung der kritischen Dienstleistung hilft bei der Abgrenzung — die kritische Dienstleistung wird in den meisten Fällen nur einen Teil der Leistungen des Unternehmens von KRITIS-Betreibern ausmachen. Der Geltungsbereich muss dies genau definieren. G06 G07
Anlagen
Die registrierte KRITIS-Anlage des Betreibers muss möglichst genau umrissen werden. Die Anlage sollte dazu mit ihren Prozessen und Komponenten exakt eingegrenzt werden auf die Funktion im Sinne der kritischen Dienstleistung. G01
Eine grafische Darstellung der KRITIS-Anlage hilft bei der Definition der Funktionsweise und Abgrenzung zu Schnittstellen, weiteren Unternehmensteilen und auch Externen. Der spätere Netzstrukturplan sollte sich aus dieser Darstellung ableiten lassen.
Prozesse
Die einzelnen, zwingend notwendigen Prozesse innerhalb der KRITIS-Anlage oder Einrichtung zur Funktion der kritischen Dienstleistung sollten genau aufgezählt und beschrieben werden. Es sollten nur diese Prozesse aufgeführt werden, die für die kritische Dienstleistung unbedingt notwendig sind — in der Regel die betrieblichen Kern- oder Leistungsprozesse dieser Anlage. G04
Eine Prozessnotation oder Darstellungsform ist nicht vorgeschrieben, eine Zuordnung der Komponenten zu Prozessen muss allerdings ersichtlich sein. G11
Komponenten (IT und OT)
Die wichtigsten informationstechnischen Systeme, Komponenten und Prozesse
der KRITIS-Anlage müssen im Geltungsbereich erfasst und beschrieben werden.
Dies umfasst in der Regel IT-Systeme, IT-Anwendungen, Infrastrukturen und auch OT.
G05
Es gibt keine normative Festlegung zur Darstellung oder dem Detaillierungsgrad — ein Auszug aus dem Asset-Management bzw. Register mit den für die Prozesse der KRITIS-Anlage notwendigen Systeme samt einer genaueren Beschreibung wäre wünschenswert.
Externe und Schnittstellen
Im Geltungsbereich muss klar ersichtlich sein, ob und welche Teile der IT oder KRITIS-Anlage von Dritten betrieben wird. Dies kann IT-Dienstleister, Infrastrukturanbieter, Cloud- oder auch Outsourcing-Provider umfassen. Die Schnittstellen der KRITIS-Anlage und ihrer IT zu externen Betreibern, Systemen und Infrastrukturen muss ebenfalls klar ersichtlich sein (Wartung, Datenaustausch usw.). G08
Wichtig: für ausgelagerte IT und Komponenten bleibt der Betreiber der KRITIS-Anlage voll verantwortlich. Die Betriebsverantwortung wird durch Verantwortung für Service Management und Dienstleister-Steuerung erweitert — das A verbleibt beim Betreiber.
Netzstrukturplan
Eine der Kernforderungen der Vorgaben ist ein Netzstrukturplan der Kritischen Infrastruktur als Teil des Geltungsbereichs (G12). Es gibt keine normativen Vorgaben zur genauen Darstellung, Form oder Umfang des Netzstrukturplans, aber insgesamt zehn allgemeinere Anforderungen (N01 bis N12) aus GAiN:
- Der Netzstrukturplan soll die Kritische Infrastruktur und ihren Geltungsbereich überblicksweise beschreiben. N01
- Alle maßgeblichen Bereiche, Systeme, Komponenten und gegebenenfalls Applikationen N02 werden auf einem angemessenen Abstraktionsniveau N03 dargestellt.
- Die Aufteilung in Standorte wird im Netzstrukturplan abgebildet N07, zusammen mit den IT-Anbindungen (Netz-Infrastruktur) der Standorte untereinander. N08
- Kommunikationsschnittstellen nach außen N05, Wartungsschnittstellen N06 und Abhängigkeiten nach außen, wie ausgelagerte Teile der Dienstleistung oder externe Dienstleister N09 werden im Netzstrukturplan ebenfalls erfasst.
- Zum Netzstrukturplan gibt es notwendige textuelle Erklärungen und Ergänzungen G13 und passende Legenden und Bezeichnungen. N10
- Im Netzstrukturplan müssen Netztrennungen N11 und Abdeckung durch Systeme zur Angriffserkennung, SzA, N12 kenntlich gemacht werden.
Anmerkung: Der Netzstrukturplan soll mithin keine vertraulichen, proprietären Informationen enthalten oder interne Netzwerkpläne exakt wiedergeben — sondern einen relevanten und angemessenen Überblick der kritischen Dienstleistung und KRITIS-Anlage (was läuft wo).
Formelle Anforderungen
Das BSI hat in seinen GAiN-Anforderungen auch Vorgaben für die Dokumentation vom Geltungsbereich und Netzstrukturplan festgelegt. Diese Anforderungen G01 bis N12 sind für Betreiber kritischer Anlagen (KRITIS) verbindlich, für Einrichtungen eine Orientierung.
| Nr. | Anforderung | Bezug |
|---|---|---|
| Dokumentation vom Geltungsbereich (GBD) | ||
| G01 | Die Anlage ist erkennbar und nachvollziehbar beschrieben. | KRITIS-Anlage |
| G02 | Die vom Betreiber erbrachten Teile der kDL sind erkennbar und nachvollziehbar beschrieben. | Kritische Dienstleistung |
| G03 | entfallen ab 2025 | |
| G04 | Alle für die kDL maßgeblichen Prozesse sind erfasst. | Prozesse |
| G05 | Alle für die kDL maßgeblichen Systeme, Komponenten und ggf. Applikationen sind erfasst. | Komponenten (IT und OT) |
| G06 | Alle Bereiche der KRITIS gehen aus dem eingereichten Geltungsbereich hervor. | Kritische Dienstleistung |
| G07 | Die Grenzen des Geltungsbereiches sind klar erkennbar. | Kritische Dienstleistung |
| G08 | Schnittstellen zu Prozessen, Systemen außerhalb des Geltungsbereiches beschrieben | Externe und Schnittstellen |
| G09 | entfallen ab 2025 | |
| G10 | Durch Dritte betriebene Teile der KRITIS sind erkennbar und nachvollziehbar beschrieben. | Externe und Schnittstellen |
| G11 | Der Geltungsbereich ermöglicht eine Zuordnung zwischen Prozessen und zugehörigen notwendigen Systemen, Komponenten und ggf. Applikationen. | Prozesse |
| G12 | Der Geltungsbereich ist in einem Netzstrukturplan dargestellt. | Netzstrukturplan |
| G13 | Zum Verständnis notwendige schriftliche Ergänzungen zum Netzstrukturplan wurden vorgenommen. | Netzstrukturplan |
| Netzstrukturplan (NSP) | ||
| N01 | Der Netzstrukturplan bietet einen Überblick über den Geltungsbereich. | Netzstrukturplan |
| N02 | Alle maßgeblichen Systeme, Komponenten und ggf. Applikationen sind dargestellt. | Netzstrukturplan |
| N03 | Das Abstraktionsniveau ist passend gewählt worden. | Netzstrukturplan |
| N04 | entfallen ab 2025 | Netzstrukturplan |
| N05 | Alle Kommunikationsschnittstellen nach außen sind dargestellt. | Netzstrukturplan |
| N06 | Wartungsschnittstellen sind abgebildet, sofern sie dauerhaft freigeschaltet sind. | Netzstrukturplan |
| N07 | Der Netzstrukturplan gibt eine ggf. existierende Aufteilung in Standorte wieder. | Netzstrukturplan |
| N08 | Die IT-Anbindungen verschiedener Standorte zueinander sind dargestellt. | Netzstrukturplan |
| N09 | Ausgelagerte Dienstleistungen sind dargestellt. | Netzstrukturplan |
| N10 | Funktionale Bezeichnungen und Legenden liegen nötigenfalls vor und sind verständlich. | Netzstrukturplan |
| N11 | Netztrennung und Separierung einzeichnen. | Netzstrukturplan |
| N12 | Abdeckung Geltungsbereich durch Systeme zur Angriffserkennung (SzA) sind kenntlich gemacht. | Netzstrukturplan |
Weitere Informationen
Literatur
- Zur Dokumentation des Geltungsbereiches bei KRITIS-Betreibern, Erfahrungen aus den Nachweisen, Bundesamt für Sicherheit in der Informationstechnik, Version 2.0, 15.08.2024
- Informationen zur Wahl des Geltungsbereichs, Infos für Prüfer, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Anforderungen an KRITIS-Prüfungen GAiN & RUN, OpenKRITIS 2025
Quellen
- Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 24.03.2025, Version 2.1
- Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a (2) BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.3, 23.02.2024
- Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist