Reifegrade in KRITIS

Levels picture

Das BSI hat mit der Reife- und Umsetzungsgradbewertung (RUN) verbindliche Anforderungen an Reifegrade und Maßnahmen für Betreiber festgelegt. In KRITIS-Prüfungen müssen Prüfer den Reifegrad von Managementsystemen und die Umsetzung von Security-Maßnahmen mit RUN feststellen. Es gibt fünf Reifegrade für Cybersecurity bei Betreibern, vom BSI auch Umsetzungsgrade genannt.

  1. RUN
  2. Reifegrad 1
  3. Reifegrad 2
  4. Reifegrad 3
  5. Reifegrad 4
  6. Reifegrad 5

Das BSI hat diese fünf Reifegrade in RUN definiert und zusätzlich mit viel Aufwand einzelne Maßnahmen der Konkretisierung der Anforderungen (KdA) und Orientierungshilfe Angriffserkennung *(OH SzA) diesen Reifegraden zugeordnet. Die folgenden Darstellung zeigt nun alle Anforderungen der verschiedenen Quellen pro Reifegrad unter Nutzung der BSI-IDs.

Reifegrade (RUN)

Übersicht

Das BSI definiert mit RUN fünf Reifegrade und fünf Umsetzungsgrade, um die Reife von Managementsystemen und den Umsetzungsstand von Maßnahmen bei Betreibern festzulegen:

Nr Reifegrad
ISMS, BCMS		 Umsetzungsgrad
SzA, OrgM, PersM, PhyM, TecM
1 Geplant Ohne Maßnahmenumsetzung
2 Gesteuert Einzelmaßnahmen, Teildurchführung
3 Etabliert Maßnahmen umgesetzt, Prozessdurchführung
4 Messbar Maßnahmen umgesetzt, plus Messbarkeit
5 Kontinuierlich verbessert Maßnahmen umgesetzt, plus Verbesserung

Die notwendigen Reife- und Umsetzungsgrade beziehen sich auf sieben Cybersecurity-Bereiche:

  • Sicherheitsmanagement (ISMS): Vorgaben, Prozesse und Steuerung von Informationssicherheit
  • Kontinuitätsmanagement (BCMS): Vorgaben, Prozesse und Steuerung von Resilienz
  • Organisatorische Maßnahmen (OrgM): Prozesse und umgesetzte Maßnahmen
  • Personenbezogene Maßnahmen (PersM): Vorgaben und Prozesse HR-Sicherheit
  • Physische Maßnahmen (PhyM): Physische Schutzmaßnahmen
  • Technische Maßnahmen (TecM): Technische IT-Sicherheit und IT-Vorgaben
  • Systeme zur Angriffserkennung (SzA): Logging, Detektion und Reaktion

up

Reifegrad 1

Der Reifegrad 1 bei Betreibern besteht aus unvollständigen und nur geplanten Prozessen im ISMS und BCMS, ohne signifikante Maßnahmenumsetzung oder -planung von IT-Sicherheit.

Reifegrad 1 - Mindestniveau (RUN)
Bereich Anforderungen
ISMS
BCMS
  • Unvollständige oder informelle Prozesse etabliert
  • Wenig oder keine Dokumentation zu Prozessen und Vorgaben
  • Nur vereinzelte oder keine Maßnahmen umgesetzt
ISMS Mindestens: Geltungsbereich, Risikomanagement, Steuerung, Prozesse
BCMS Mindestens: Aufbau BCM in Arbeit, erste Festlegungen
OrgM -
PersM -
PhyM -
TecM -
SzA -

up

Reifegrad 2

Für den Reifegrad 2 müssen Betreiber ISMS und BCMS teilweise etablieren und eine längere Liste an technischen und organisatorischen Schutzmaßnahmen umgesetzt haben.

Reifegrad 2 - Mindestniveau (RUN)
Bereich Anforderungen
ISMS
BCMS
  • Nur teilweise etablierte Prozesse
  • Grundlegende Dokumentationen zu Prozessen und Vorgaben
  • Teilweise zweckmäßige Maßnahmen umgesetzt
ISMS Mindestens: Geltungsbereich, Strategie und Vorgaben, Risikoanalysen, Steuerung
BCMS Mindestens: Schnittstellen ISMS, Aufrechterhaltung, Krisenmanagement, Pläne
OrgM
  • Strategische Vorgaben zur Informationssicherheit und Verantwortung Unternehmensleitung BSI-2
  • Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit BSI-3.1
  • Funktionstrennung (Separation of Duties) von Rollen und Verantwortungen BSI-4
  • Zuweisung von Asset Verantwortlichen und Nutzungsanweisungen BSI-6BSI-7
  • Informationsklassifizierung und Kennzeichnen von Assets BSI-9BSI-10
  • Datenträger und Überführung von Assets BSI-11BSI-12
  • Richtlinie Risikomanagement und Identifikation Risiken BSI-13BSI-14.2
  • Folgenabschätzung und Maßnahmenableitung BSI-15BSI-16
  • Kompetenzen IT und Betrieb BSI-65
  • Freigabe und Management von Richtlinien BSI-66.2
  • Richtlinie IT-Prüfungen und Berichte Unternehmensleitung BSI-83.1BSI-85
  • Kontakt zu Behörden und Interessensvertretern BSI-97.1
  • Richtlinie Sicherheitsanforderungen Dienstleister BSI-98
PersM
  • Einstellung und Verträge BSI-57
  • Rollenzuweisungen und Vieraugen-Prinzip BSI-58
  • IAM: Nutzerregistrierung und Berechtigungen BSI-59BSI-60.2
  • IAM: Provisionierung Berechtigungen und Überprüfung BSI-61BSI-62
  • Beendigung Beschäftigung BSI-70
PhyM
  • Perimeterschutz und Zutrittsschutz BSI-72
  • Vorgaben zur Wartung der Infrastruktur BSI-73
TecM
  • Maßnahmen zur Überwachung und Provisionierung BSI-20.2
  • Schutz vor Malware BSI-21
  • Vorgaben Backup und Recovery BSI-22
  • Überwachung und Tests von Backup und Recovery BSI-23BSI-24
  • Systemhärtung BSI-25
  • Sichere Authentisierung und Anmeldeverfahren BSI-26BSI-27
  • Zugriffskontrolle und Passwortanforderungen BSI-28BSI-29
  • Einschränkung Administration und Quelcode BSI-30BSI-31
  • Richtlinie Kryptographie BSI-32
  • Technische Schutzmaßnahmen BSI-36
  • Überwachung Verbindungen und Sicherheitsgateways BSI-37BSI-38
  • Administrationsnetze und Netzwerk-Dokumentation BSI-39BSI-40
  • Richtlinie Datenübertragung BSI-41
  • Vertraulichkeitserklärung intern und extern BSI-42
  • Richtlinie Entwicklung/Beschaffung und ausgelagerte Entwicklung BSI-43BSI-44
  • Richtlinie Change Management und Risikobewertung Changes BSI-45BSI-46
  • Change Management Prozesse BSI-47BSI-48BSI-49BSI-50
  • Tests und Überprüfung, Notfalländerungen BSI-51BSI-52
  • Trennung Produktivumgebung (Systemlandschaft) BSI-53
  • Funktionstrennung im Change Management BSI-54
  • Vorgaben mobile Endgeräte (MDM) BSI-55
SzA -

up

Reifegrad 3

Im Reifegrad 3 sind bei Betreibern für das ISMS und BCMS Standardprozesse etabliert und dokumentiert sowie viele einzelne (vor allem) organisatorische Maßnahmen umgesetzt. Für Angriffserkennung sind ein Großteil der SzA-Maßnahmen umgesetzt.

Reifegrad 3 - Mindestniveau (RUN)
Bereich Anforderungen
ISMS
BCMS
  • Vollständig etablierte Standardprozesse
  • Vollständige Dokumentation und Nachweise zu Prozessen und Vorgaben
  • Maßnahmen größtenteils umgesetzt
ISMS Mindestens: Integrierter Prozess mit Schnittstellen, Organisation, Abhängigkeiten
BCMS Mindestens: Integrierter Standardprozess, Nachweise, BC-Risiken, Notfallpläne
OrgM
  • Reifegrad 2 (UG2) +
  • Identifizierte Risiken bei überlappenden Verantwortungen BSI-3.2
  • Asset Inventar und Rückgabe von Assets BSI-5BSI-8
  • Verfahren zur Folgeabschätzung IT-Risiken BSI-14.1
  • Richtlinien Identifikation Schwachstellen und Prüfung BSI-83.2
  • Interne IT-Prüfungen bei Unterauftragnehmern und externe Audits BSI-87.3BSI-88
  • Verfahren zum Verteilen externer Informationen intern BSI-97.2
  • Verfahren zur Kontrolle von Dienstleistern BSI-99.1
  • Einrichtung KRITIS-Kontaktstelle BSI-100
  • Genehmigung von Ausnahmen von Richtlinien BSI-67.1
PersM
  • Reifegrad 2 (UG2) +
  • Einstellung und Sicherheitsüberprüfung BSI-56
  • Vergabe von Zugriffsberechtigungen nach Vorgabe BSI-60.1
  • Berechtigungen von Administratoren und Notfallnutzer BSI-63BSI-64
  • Schulungs- und Awarenessprogramm, interne und extern BSI-68.1BSI-68.2
  • Prozess für Disziplinarverfahren BSI-69
PhyM
  • Reifegrad 2 (UG2) +
  • Sicherung Versorgung Rechenzentrum BSI-71
  • Schutz vor Bedrohungen von außen und Unterbrechungen BSI-74BSI-75
TecM
  • Reifegrad 2 (UG2) +
  • Verfahren zur Kapazitätsplanung Personal und Ressourcen BSI-20.1
  • Verschlüsselung im Transport und bei Speicherung BSI-33BSI-34
  • Verfahren zur sicheren Schlüsselverwaltung BSI-35
SzA
  • Notwendige Protokoll- und Protokollierungsdaten und Systeme zur Speicherung BSI-101.2BSI-101.4
  • Dokumentation Planungsphase und Protokollierung Systemgruppen BSI-101.7BSI-101.9
  • Richtlinie Protokollierung, Abstimmung ISB BSI-102.1BSI-102.3
  • Vorgaben und Umsetzung Protokollierung sicherheitsrelevanter Ereignisse BSI-103.1 BSI-103.2 BSI-103.3 BSI-103.4 BSI-103.6 BSI-103.7 BSI-103.10 BSI-103.11
  • Planung und Abdeckung Detekionsmaßnahmen BSI-104.1
  • Sicherheitsrichtlinie Detektion, Abstimmung ISB BSI-105.1BSI-105.2
  • Rechtliche Rahmenbedingungen Detektion BSI-106
  • Meldewege sicherheitsrelevante Ereignisse BSI-107.1BSI-107.2
  • Sensibilisierung Mitarbeiter Ereignisse BSI-108
  • Systemfunktionen und Malwarescanner BSI-109.1BSI-109.3
  • Kontinuierliche Auswertung Protokolldaten und Reaktion BSI-110.1BSI-110.3
  • Zusätzliche Detektionssystem und Malwarescanner BSI-111
  • Auswertung sicherheitsrelevanter Ereignisse BSI-112
  • Auswertung Informationen externer Quellen BSI-113
  • Spezialisiertes Personal zur Auswertung Protokollierung BSI-114.1BSI-114.3
  • Zentrale Detektion und Echtzeitüberprüfung BSI-115
  • Qualifizierung sicherheitsrelevanter Ereignisse BSI-116
  • Definition Sicherheitsvorfall und Richtlinie BSI-117.1BSI-118
  • Verantwortlungen und Benachrichtigungen bei Vorfällen BSI-119BSI-120
  • Behebung und Wiederherstellung BSI-121BSI-122
  • Automatische Meldung und Reaktion auf SRE BSI-BSI-

up

Reifegrad 4

Der Reifegrad 4 zeichnet sich bei Betreibern durch etablierte und überwachte Prozesse im ISMS und BCMS aus, sowie organisatorische Maßnahmen rund um Prüfungen und Audits. Für Angriffserkennung sind SOLL-Anforderungen der OH SzA umzusetzen, für weitere Bereiche individuelle Maßnahmen.

Reifegrad 4 - Mindestniveau (RUN)
Bereich Anforderungen
ISMS
BCMS
  • Vollständig etablierte Standardprozesse mit Kennzahlen überwacht
  • Dokumentation und Protokollierung mit Kennzahlen
  • Maßnahmen umgesetzt und als wirksam bewertet
ISMS Mindestens: Vollständig etabliert, Wirksamkeitsmessung, KPIs und Überwachung
BCMS Mindestens: Vollständig etabliert, Wirksamkeit Pläne, Tests und Überwachung
OrgM
  • Reifegrad 3 (UG3) +
  • Compliance-Prüfungen IT-Prozesse BSI-86.1
  • Compliance-Prüfungen IT-Systeme BSI-87.1
  • Externe Audits im KRITIS-Geltungsbereich BSI-89.1
  • Jährliche Überprüfung Richtlinien und Abweichungen BSI-66.1BSI-67.2
PersM
  • Reifegrad 3 (UG3) + individuelle Maßnahmen
PhyM
  • Reifegrad 3 (UG3) + individuelle Maßnahmen
TecM
  • Reifegrad 3 (UG3) + individuelle Maßnahmen
SzA
  • Reifegrad 3 (UG3) +
  • Planung Protokollierung Priorisierung, Infrastruktur, Gruppierung BSI-101
  • Richtlinie Protokollierung - Schutzbedarf Assets BSI-102.2
  • Zentrale Stellen Protokollierung und Netzebene BSI-103.5BSI-103.9
  • Prüfung und Test Meldewege BSI-107.3
  • Kontrolle gesammelte Meldungen BSI-109.2
  • Priorisierung Auswertung Protokolldaten BSI-114.2
  • Qualifizierung SRE und Auslösung Reaktion BSI-116.2BSI-116.4
  • Definition Vorfall und Schwellen nach Schutzbedarf BSI-117.2
  • Schnittstellen zu Notfallmanagement & co. BSI-118.2
  • Penetrationstest bei Wiederherstellung BSI-122.2
  • Vorgehensweise und Organisation zur Behandlung von Sicherheitsvorfällen BSI-123BSI-124
  • Meldewege für Sicherheitsvorfälle BSI-125
  • Eindämmung und Einstufung von Sicherheitsvorfällen BSI-126BSI-127
  • Schnittstellen Störungs- und Fehlerbehebung, Notfallmanagement BSI-128BSI-129
  • Eskalationsstrategie Sicherheitsvorfälle und Schulungen Mitarbeiter BSI-130BSI-131
  • Dokumentation Behebung und Nachbereitung Sicherheitsvorfälle BSI-132BSI-133
  • Weiterentwicklung (KVP) Prozesse nach Vorfällen BSI-134
  • Automatische Maßnahmen und manuelle Qualifizierung BSI-135.3BSI-135.5

up

Reifegrad 5

Im Reifegrad 5 laufen ISMS und BCMS mit weiterentwickelten Prozessen und fachlichen Verbesserungen, weitere Maßnahmen sind individuell. Für Angriffserkennung kommen fortschrittlich Anforderungen hinzu.

Reifegrad 5 - Mindestniveau (RUN)
Bereich Anforderungen
ISMS
BCMS
  • Vollständiger, wirksamer Standardprozesse mit Weiterentwicklung
  • Vollständige Dokumentation und Nachweise vorhanden
  • Maßnahmen und Verbesserungsmaßnahmen umgesetzt
ISMS Mindestens: Kontinuierliche Weiterentwicklung mit Zielen, Verbesserungen, Revisionen
BCMS Mindestens: Kontinuierliche Weiterentwicklung, verbesserte Aufrechterhaltung, Revisionen
OrgM
  • Reifegrad 4 (UG4) +
  • Priorisierte Behebung von Abweichungen aus internen IT-Prüfungen BSI-86.2BSI-87.2
  • Priorisierte Behebung von Abweichungen aus externen Audits BSI-89.2
  • Risikoanalyse und Mitigation von Abweichungen bei Dienstleistern BSI-99.2
PersM
  • Reifegrad 4 (UG4) + individuelle Maßnahmen
PhyM
  • Reifegrad 4 (UG4) + individuelle Maßnahmen
TecM
  • Reifegrad 4 (UG4) + individuelle Maßnahmen
SzA
  • Reifegrad 4 (UG4) +
  • Automatisierte Schwachstellen-Scanner BSI-84
  • Richtlinien zur automatisierten Log-Auswertung BSI-90
  • Liste kritischer Assets für das Loggin BSI-91
  • Aufbewahrung und Konfiguration von Logs BSI-92BSI-93
  • Verfügbarkeit der Logging-Software BSI-94
  • Jährliche Penetrationstests BSI-95
  • Richtlinien zum Umgang mit kritischen Schwachstellen BSI-96
  • Zusätzliche Systeme zur Protokollierung BSI-101.3BSI-101.6
  • Befristete Speicherung der unbearbeiteten Logdaten BSI-103.8
  • Nutzung standardisierter Methoden (MITRE) zur Planung Detektion BSI-104.2
  • Automatisierte Auswertung Protokolldaten und Alarmierung BSI-110.2

up

Weitere Informationen

Quellen

  1. Reife- und Umsetzungsgradbewertung (RUN) im Rahmen der Nachweisprüfung, Bundesamt für Sicherheit in der Informationstechnik, 09.01.2025
  2. Mapping von Anforderungen aus der Konkretisierung der KRITIS-Anforderungen auf RUN-Umsetzungsgrade, Bundesamt für Sicherheit in der Informationstechnik, 09.01.2025
  3. Konkretisierung der Anforderungen, OpenKRITIS-Mapping 2025