KRITIS Branchenstandards
Für KRITIS-Sektoren gibt es neben allgemeinen Security Standards für KRITIS und ISMS auch spezifische Branchen- und Industriestandards. Diese Branchenstandards ergänzen mit Vorgaben und Maßnahmen für bestimmte Technologien und Anlagen die allgemeinen Standards für Management-Systeme.
Standard | Bereich | Umfang |
---|---|---|
B3S Branchenstandards | KRITIS-Branchen: | ISMS, Kontrollen |
Regulierung und Gesetze | IT-Regulierung: EnWG und SiKat BAIT TKG Katalog 2.0 |
Anforderungen für: Energie Banken Telekommunikation |
Industrie-Standards | Normen: ISO 27001 ISO 27017 ISO 27018 ISO 27019 IEC 62443 NERC CIP CLC/TS 50701 |
Zusatz-Kontrollen: Telekommunikation Cloud Datenschutz Cloud Energie Industrieanlagen Energie Eisenbahn |
Neben diesen spezifische Standards gibt es allgemeine Cyber Security Standards wie ISO 27001, die beim Aufbau vom Management für Informationssicherheit helfen.
Branchen und Spezifika
KRITIS Branchenstandards (B3S)
Für einzelne Branchen in KRITIS-Sektoren gibt es Branchenstandards (B3S), die von Branchenverbänden für Kritische Infrastrukturen erstellt und vom BSI freigegeben wurden. Diese sehr unterschiedlichen Standards definieren meisten Anforderungen an ein ISMS und branchenspezifische Sicherheitsmaßnahmen für verbreitete Anlagen und IT.
Regulierung und Gesetze
In einigen KRITIS-Sektoren gibt es bestehende und weitergehende Regulierung, die teilweise Anforderungen für IT-Sicherheit enthält — auch unter KRITIS-Gesetzgebung behandelt.
EnWG und IT-Sicherheitskatalog
Energieversorger fallen neben der KRITIS-Regulierung auch unter das EnWG mit Cyber Security Anforderungen für Betreiber von Energieanlagen, Versorgungsnetzen, Kernkraft und weiteren. Manche werden als KRITIS-Betreiber durch §8a BSIG reguliert, andere wiederum durch §11 EnWG oder das ATG.
BAIT
Für die Belange von Banken gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Betreiber Kritischer Infrastrukturen. Das soll Doppelbelastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.
TKG und Sicherheitskatalog 2.0
KRITIS-Betreiber im Sektor IKT werden teilweise auch durch das Telekommunikationsgesetz reguliert, wenn sie öffentliche Telekommunikationsnetze oder -dienste betreiben. Für diese KRITIS-Anlagen sind nicht KRITIS-Maßnahmen verbindlich, sondern die Anforderungen für IT-Sicherheit in §165-169 TKG, das 2021 umfangreich überarbeitet wurde.
- Cyber Security Maßnahmen und Umsetzung Sicherheitskatalog 2.0
- Sicherheitskonzept und Sicherheitsbeauftragter
- Kritische Komponenten (5G-Netzwerke)
- Angriffserkennung und Meldepflichten BNetzA
Der Katalog von Sicherheitsanforderungen 2.0 der BNetzA beschreibt dazu Grundlagen für Sicherheitskonzept und zu treffende Maßnahmen bei TK-Betreibern.
Sicherheitskatalog 2.0 | Inhalt |
---|---|
Sicherheitsmaßnahmen | Cyber Security Maßnahmen für TK-Anbieter und Betreiber |
Rechtliche Grundlagen | Fernmeldegeheimnis, personenbezogene Daten, TK-Infrastruktur/Dienste |
Umsetzung | Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen |
TK mit IP-Infrastruktur | Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur |
Gefährdungspotenzial | Zusätzliche Sicherheitsanforderungen für Netze und Dienste erhöhter Kritikalität |
Die Maßnahmen können von TK-Sicherheitskatalog 2.0 zu KRITIS (C5) gemappt werden (PDF).
Internationale Industriestandards
Als Erweiterung zu den allgemeinen Standards gibt es eine Vielzahl internationaler Branchen- und Technologiestandards, die in bestimmten Industrien spezifische Sicherheitsmaßnahmen für dort eingesetzte Technologien definieren. Diese Standards definieren meist kein eigenes ISMS — sondern erweitern bestehende Strukturen um bestimmte Kontrollen und Bereiche.
ISO 2701X Technologien
Die verschiedenen ISO 2701X-Standards sind Empfehlungen für die Betreiber bestimmter Dienste und Technologien und enthalten als Code of practice zusätzliche Controls für technologie- und branchenspezifische Themen, die ISO 27001/27002 erweitern.
Die 2701X-Controls ändern und ergänzen die Anforderungen bestehender ISO 27001 Kapitel bzw. Annex-A Domänen. Diese Empfehlungen erweitern bestehende Management-Systeme (ISMS nach ISO 27001) und stellen keinen eigenen, zertifizierbaren Standard oder ISMS dar, können von KRITIS-Betreibern jedoch als Ergänzung für Branchenspezifika genutzt werden.
- ISO 27011 Telekommunikation: ISO/IEC 27011:2016 ist eine Empfehlung für Anbieter von Telekommunikationsnetzen und -diensten mit ca. 30 Controls. Eine neue Version befindet sich 2022 als ISO/IEC CD 27011.2 in Abstimmung.
- ISO 27017 Cloud: ISO/IEC 27017:2015 ist eine Empfehlung für Betreiber von Cloud-Diensten.
- ISO 27018 Datenschutz in Cloud: ISO/IEC 27018:2018 ist eine Empfehlung für den Schutz personenbezogener Daten bei Public Cloud Anbietern.
- ISO 27019 Energie: ISO/IEC 27019:2017 ist eine Empfehlung für Energieversorger, die Controls mit Schwerpunkt Prozesssteuerung, PLCs, Kommunikation, Smart Meters, Energie-Management, Smart Grids und angepasste Risiko-Methodiken enthält.
IEC 62443 Industriesicherheit
Der Standard IEC 62443 Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme definiert als Normenreihe Anforderungen für die Sicherheit industrieller Steuerung und Automatisierung (Industrial Automation and Control Systems - IACS).
IEC 62443 wird von KRITIS-Betreibern für die IT-Sicherheit von Industrieanlagen genutzt und ist in einigen Branchen dafür auch regulatorisch vorgeschrieben. Es gibt (noch) keine direkte Anwendung von IEC 62243 für KRITIS-Nachweise und -Maßnahmen
Für IEC 62243 gibt es (zurzeit) noch kein eigenständiges Zertifizierungsschema — möglich sind aber Zertifizierungen zusammen mit ISO 27001 als ISMS. Die IEC 62443 Normenreihe umfasst seit 2009 verschiedene Teilstandards, die teilweise noch in Arbeit sind:
Standard | Datum | Inhalt |
---|---|---|
62443-1-1 | 2009 | Grundlagen und Konzepte |
62443-1-2 | i.A. | Terminologie |
62443-1-3 | i.A. | Metriken |
62443-1-4 | i.A. | Lebenszyklen |
62443-1-5 | i.A. | Regeln für Profile |
62443-2-1 | 2010 | Sicherheitsprogramm für Betreiber von Anlagen |
62443-2-2 | i.A. | Einstufung |
62443-2-3 | 2015 | Patch-Management |
62443-2-4 | 2017 | Anforderungen für Provider und Integratoren |
62443-2-5 | i.A. | Implementation guidance |
62443-3-1 | 2009 | Sicherheitstechnologien |
62443-3-2 | 2017 | Risiko-Assessment und System-Design |
62443-3-3 | 2013 | Technische Anforderungen an Systeme und Security-Level |
62443-4-1 | 2018 | Sichere Entwicklung (Development Lifecycle) |
62443-4-2 | 2019 | Technische Anforderungen an Produkte und Komponenten |
62443-5-1 | i.A. | Profile |
62443-5-2 | i.A. | Profile |
62443-6-1 | i.A. | Evaluierungsmethodik für IEC 62443-2-4 (Provider) |
62443-6-2 | i.A. | Evaluierungsmethodik für IEC 62443-4-2 (Produkte) |
Bei der Umsetzung der einzelnen IEC 62443-Standards gibt es verschiedene Stufen:
- Security Level: Geplante Schutzziele basierend auf Bedrohungen von 0 (keine besondere Anforderung) bis 4 (Angreifer mit Vorsatz, fortschrittliche Werkzeuge und Motivation).
- Maturity Level: Reifegrade für die Umsetzung von IT-Sicherheit von 1 (initial und ad-hoc) bis 4 (kontinuierliche Verbesserung).
NERC CIP
NERC CIP, North American Electric Reliability Corporation Critical Infrastructure Protection, ist eine Normenreihe für IT-Sicherheit bei US-Amerikanischen Energieversorgern. Die CIP-Standards von CIP-002 bis CIP-014 umfassen eine Bandbreite an Cyber Security Themen von Personal, über Sicherheitsmanagement bis physischer Sicherheit.
CLC/TS 50701 Railway Cybersecurity
International gibt es seit Juli 2021 von CENELEC einen Standard für Sicherheit im Eisenbahnsektor, CLC/TS 50701 Railway applications - Cybersecurity, herausgegeben von TC 9X/WG 26.
Weitere Informationen
Literatur
- KRITIS-Standards für Management-Systeme auf OpenKRITIS
- Referenzierung des Kriterienkatalog Cloud Computing C5:2020 auf internationale Standards, Kreuzreferenztabelle C5, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- NIST Critical Infrastructure Resources, National Institute of Standards and Technology
- Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards, National Institute of Standards and Technology, September 2021
Quellen
- ISO/IEC 27011:2016, Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations, ISO/IEC JTC 1/SC 27, 2016
- ISO/IEC 27017:2015, Code of practice for Information security controls based on ISO/IEC 27002 for cloud services, ISO/IEC JTC 1/SC 27, 2015
- ISO/IEC 27018:2019, Code of practice for Information security controls based on ISO/IEC 27002 for for protection of personally identifiable information (PII) in public clouds acting as PII processors, ISO/IEC JTC 1/SC 27, 2019
- ISO/IEC 27019:2017, Code of practice for Information security controls based on ISO/IEC 27002 for the energy utility inndustry, ISO/IEC JTC 1/SC 27, 2019
- CIP Standards, North American Electric Reliability Corporation, 2022