KRITIS Branchenstandards

Für KRITIS-Sektoren gibt es neben Cyber Security Standards auch spezifische Branchen- und Industrie­standards, die Vorgaben und Maßnahmen für bestimmte Technologien und Anlagen einzelner KRITIS-Sektoren definieren. Diese ergänzen oder ersetzen die allgemeinen Standards für Management-Systeme.

Relevante Branchenstandards für Kritische Infrastrukturen umfassen ein breites Feld von offiziellen KRITIS-Branchen­standards (B3S), branchen­spezifischer Regulierung wie EnWG und TKG, und internationalen Industrie­standards wie IEC 62443 und ISO 2701X.

Branchen und Spezifika

KRITIS Branchenstandards (B3S)

Für einzelne Branchen in KRITIS-Sektoren gibt es Branchenstandards (B3S), die von Branchen­verbänden für Kritische Infrastrukturen erstellt und vom BSI freigegeben wurden. Diese sehr unterschiedlichen Standards definieren meisten Anforderungen an ein ISMS und branchen­spezifische Sicherheits­maßnahmen für verbreitete Anlagen und IT.

Sektor Branchenstandard
Energie
  1. Branchenspezifischer Sicherheitsstandard für Anlagen oder Systeme zur Steuerung / Bündelung elektrischer Leistung (B3S Aggregatoren), BDEW, Version 1.1, 29.4.2021
  2. Branchenspezifischer Sicherheitsstandard für die Verteilung von Fernwärme (Fernwärmenetze), BDEW, Version 1.1, 15.2.2021
Wasser
  1. Branchen­spezifischer Sicherheits­standard Wasser/Abwasser, DVGW, DWA, Version 3.0, Webseite des BSI
Ernährung
  1. Sicherheits­standard für die Ernährungs­industrie, BVE, Version 2.0, Webseite des BSI
  2. B3S für den Lebensmittel­handel, EHI, Webseite des BSI
Gesundheit
  1. Branchen­spezifischer Sicherheits­standard für die Gesundheitsversorgung im Krankenhaus, DKG, Version 1.1, 22.10.2019
  2. Branchen­spezifischer Sicherheits­standard Pharma, diverse Verbände, Webseite des BSI, Version 2019?
  3. Branchen­spezifischer Sicherheits­standard für die Laboratoriums­diagnostik, ALM, Webseite des BSI, Version 2019?
Transport und Verkehr
  1. Branchenspezifischer Sicherheitsstandard für die Verkehrssteuerungs-und Leitsysteme im kommunalen Straßenverkehr, HV, Webseite des BSI, Version 2021?
  2. B3S im Luftverkehr; eingereicht beim BSI vom Bundesverband der Deutschen Luftverkehrswirtschaft e.V. (BDL)
  3. B3S für Betreiber des ÖPNV und des Schienenverkehrs der Eisenbahn; eingereicht beim BSI vom Verband Deutscher Verkehrsunternehmen e.V. (VDV)
Entsorgung -
IT und TK
  1. Branchen­spezifischer Sicherheits­standard zur IT-Sicherheit (Bereiche Housing und Hosting), UP KRITIS BAK Datacenter & Hosting mit CDN, Version April 2018
Finanzen und Versicherungen
  1. Branchen­spezifischer Sicherheits­standard für gesetzliche Kranken- und Pflegeversicherer B3S-GKV/PV (Ersatzkassen), vdek, Version 1.2, Webseite des BSI

up

Regulierung und Gesetze

In einigen KRITIS-Sektoren gibt es bestehende und weitergehende Regulierung, die teilweise Anforderungen für IT-Sicherheit enthält — auch unter KRITIS-Gesetzgebung behandelt.

EnWG und IT-Sicherheitskatalog

Energieversorger fallen neben der KRITIS-Regulierung auch unter das EnWG mit Cyber Security Anforderungen für Betreiber von Energieanlagen, Versorgungsnetzen, Kernkraft und weiteren. Manche werden als KRITIS-Betreiber durch §8a BSIG reguliert, andere wiederum durch §11 EnWG oder das ATG.

BAIT

Für die Belange von Banken gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Betreiber Kritischer Infrastrukturen. Das soll Doppel­belastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.

TKG und Sicherheitskatalog 2.0

KRITIS-Betreiber im Sektor IKT werden teilweise auch durch das Telekommunikations­gesetz reguliert, wenn sie öffentliche Telekommunikations­netze oder -dienste betreiben. Für diese KRITIS-Anlagen sind nicht KRITIS-Maßnahmen verbindlich, sondern die Anforderungen für IT-Sicherheit in §165-169 TKG, das 2021 umfangreich überarbeitet wurde.

Der Katalog von Sicherheits­anforderungen 2.0 der BNetzA beschreibt dazu Grundlagen für Sicherheitskonzept und zu treffende Maßnahmen bei TK-Betreibern.

Sicherheitskatalog 2.0   Inhalt
Sicherheits­maßnahmen Cyber Security Maßnahmen für TK-Anbieter und Betreiber
Rechtliche Grundlagen Fernmelde­geheimnis, personen­bezogene Daten, TK-Infrastruktur/Dienste
Umsetzung Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen
TK mit IP-Infrastruktur Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur
Gefährdungspotenzial Zusätzliche Sicherheits­anforderungen für Netze und Dienste erhöhter Kritikalität

Die Maßnahmen können von TK-Sicherheitskatalog 2.0 zu KRITIS (C5) gemappt werden (PDF).

up

Internationale Industrie­standards

Als Erweiterung zu den allgemeinen Standards gibt es eine Vielzahl internationaler Branchen- und Technologie­standards, die in bestimmten Industrien spezifische Sicherheits­maßnahmen für dort eingesetzte Technologien definieren. Diese Standards definieren meist kein eigenes ISMS — sondern erweitern bestehende Strukturen um bestimmte Kontrollen und Bereiche.

ISO 2701X Technologien

Die verschiedenen ISO 2701X-Standards sind Empfehlungen für die Betreiber bestimmter Dienste und Technologien und enthalten als Code of practice zusätzliche Controls für technologie- und branchen­spezifische Themen, die ISO 27001/27002 erweitern.

Die 2701X-Controls ändern und ergänzen die Anforderungen bestehender ISO 27001 Kapitel bzw. Annex-A Domänen. Diese Empfehlungen erweitern bestehende Management-Systeme (ISMS nach ISO 27001) und stellen keinen eigenen, zertifizierbaren Standard oder ISMS dar, können von KRITIS-Betreibern jedoch als Ergänzung für Branchen­spezifika genutzt werden.

IEC 62443 Industrie­sicherheit

Der Standard IEC 62443 Industrielle Kommunikations­netze - IT-Sicherheit für Netze und Systeme definiert als Normenreihe Anforderungen für die Sicherheit industrieller Steuerung und Automatisierung (Industrial Automation and Control Systems - IACS).

IEC 62443 wird von KRITIS-Betreibern für die IT-Sicherheit von Industrie­anlagen genutzt und ist in einigen Branchen dafür auch regulatorisch vorgeschrieben. Es gibt (noch) keine direkte Anwendung von IEC 62243 für KRITIS-Nachweise und -Maßnahmen

Für IEC 62243 gibt es (zurzeit) noch kein eigenständiges Zertifizierungs­schema — möglich sind aber Zertifizierungen zusammen mit ISO 27001 als ISMS. Die IEC 62443 Normen­reihe umfasst seit 2009 verschiedene Teilstandards, die teilweise noch in Arbeit sind:

eigene Zusammenstellung Normenreihe IEC 62443
Standard Datum Inhalt
62443-1-1 2009 Grundlagen und Konzepte
62443-1-2 i.A. Terminologie
62443-1-3 i.A. Metriken
62443-1-4 i.A. Lebenszyklen
62443-1-5 i.A. Regeln für Profile
62443-2-1 2010 Sicherheits­programm für Betreiber von Anlagen
62443-2-2 i.A. Einstufung
62443-2-3 2015 Patch-Management
62443-2-4 2017 Anforderungen für Provider und Integratoren
62443-2-5 i.A. Implementation guidance
62443-3-1 2009 Sicherheits­technologien
62443-3-2 2017 Risiko-Assessment und System-Design
62443-3-3 2013 Technische Anforderungen an Systeme und Security-Level
62443-4-1 2018 Sichere Entwicklung (Development Lifecycle)
62443-4-2 2019 Technische Anforderungen an Produkte und Komponenten
62443-5-1 i.A. Profile
62443-5-2 i.A. Profile
62443-6-1 i.A. Evaluierungsmethodik für IEC 62443-2-4 (Provider)
62443-6-2 i.A. Evaluierungsmethodik für IEC 62443-4-2 (Produkte)

Bei der Umsetzung der einzelnen IEC 62443-Standards gibt es verschiedene Stufen:

NERC CIP

NERC CIP, North American Electric Reliability Corporation Critical Infrastructure Protection, ist eine Normenreihe für IT-Sicherheit bei US-Amerikanischen Energie­versorgern. Die CIP-Standards von CIP-002 bis CIP-014 umfassen eine Bandbreite an Cyber Security Themen von Personal, über Sicherheits­management bis physischer Sicherheit.

CLC/TS 50701 Railway Cybersecurity

International gibt es seit Juli 2021 von CENELEC einen Standard für Sicherheit im Eisenbahn­sektor, CLC/TS 50701 Railway applications - Cybersecurity, herausgegeben von TC 9X/WG 26.

up

Weitere Informationen

Literatur

  1. KRITIS-Standards für Management-Systeme auf OpenKRITIS
  2. Referenzierung des Kriterienkatalog Cloud Computing C5:2020 auf internationale Standards, Kreuzreferenztabelle C5, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  3. NIST Critical Infrastructure Resources, National Institute of Standards and Technology
  4. Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards, National Institute of Standards and Technology, September 2021

Quellen

  1. ISO/IEC 27011:2016, Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations, ISO/IEC JTC 1/SC 27, 2016
  2. ISO/IEC 27017:2015, Code of practice for Information security controls based on ISO/IEC 27002 for cloud services, ISO/IEC JTC 1/SC 27, 2015
  3. ISO/IEC 27018:2019, Code of practice for Information security controls based on ISO/IEC 27002 for for protection of personally identifiable information (PII) in public clouds acting as PII processors, ISO/IEC JTC 1/SC 27, 2019
  4. ISO/IEC 27019:2017, Code of practice for Information security controls based on ISO/IEC 27002 for the energy utility inndustry, ISO/IEC JTC 1/SC 27, 2019
  5. CIP Standards, North American Electric Reliability Corporation, 2022