KRITIS Branchenstandards

Für KRITIS-Sektoren gibt es neben allgemeinen Security-Standards für KRITIS und ISMS auch spezifische Branchen- und Industriestandards. Diese Branchenstandards ergänzen mit Vorgaben und Maßnahmen für bestimmte Technologien und Anlagen die allgemeinen Standards für Management-Systeme.

KRITIS-B3S
Regulierung
Industrie

Neben diesen spezifischen Standards gibt es allgemeine Cyber Security Standards wie ISO 27001, die beim Aufbau vom Management für Informationssicherheit helfen.

Standard	Bereich	Umfang
B3S Branchenstandards	KRITIS-Branchen	ISMS, Kontrollen
Regulierung und Gesetze	IT-Regulierung: EnWG und SiKat BAIT TKG Katalog 2.0	Anforderungen für: Energie Banken Telekommunikation
Industrie-Standards	Normen: ISO 27011 ISO 27017 ISO 27018 ISO 27019 IEC 62443 NERC CIP CLC/TS 50701	Zusatz-Kontrollen: Telekommunikation Cloud Datenschutz Cloud Energie Industrieanlagen Energie Eisenbahn

Branchen und Industrien

KRITIS Branchenstandards (B3S)

Für einzelne Branchen in KRITIS-Sektoren gibt es Branchenstandards (B3S), die von Branchenverbänden für Kritische Infrastrukturen erstellt und vom BSI freigegeben wurden. Diese sehr unterschiedlichen Standards definieren meistens Anforderungen an ein ISMS und branchenspezifische Sicherheitsmaßnahmen für verbreitete Anlagen und IT. Die neusten B3S betreffen auch den Einsatz von Systemen zur Angriffserkennung.

eigene Zusammenstellung, Stand März 2024
Sektor	Branchenstandard
Energie	Branchenspezifischer Sicherheitsstandard für Anlagen oder Systeme zur Steuerung / Bündelung elektrischer Leistung (B3S Aggregatoren), BDEW, Version 1.2, 5.6.2023 (gültig bis Juli 25) Branchenspezifischer Sicherheitsstandard für die Verteilung von Fernwärme (Fernwärmenetze), BDEW, Version 1.1, 15.2.2021 (gültig bis April 23)
Wasser	Branchenspezifischer Sicherheitsstandard Wasser/Abwasser, DVGW, DWA, Version 2021.2, Webseite des BSI (gültig bis Januar 25)
Ernährung	Sicherheitsstandard für die Ernährungsindustrie, BVE, Version 3.1, Webseite des BSI (gültig bis April 25) B3S für den Lebensmittelhandel, EHI, Version 2.2, Webseite des BSI (gültig bis März 24)
Gesundheit	Informationssicherheit im Krankenhaus - Branchenspezifischer Sicherheitsstandard (B3S), DGK, Version 1.2, Webseite der DKG (gültig bis Januar 25) Branchenspezifischer Sicherheitsstandard für die Laboratoriumsdiagnostik, ALM, Webseite des BSI, Version 1.1 (nicht mehr gültig)
Transport und Verkehr	Branchenspezifischer Sicherheitsstandard für die Verkehrssteuerungs-und Leitsysteme im kommunalen Straßenverkehr, Hamburg Verkehrsanlagen GmbH, Version 2023, Website des BSI (gültig bis April 25) Branchenspezifischer Sicherheitsstandard für die Verkehrssteuerungs- und Leitsysteme der BundesautobahnDie Autobahn GmbH des Bundes, Version 1.0 (gültig bis Oktober 24)
Entsorgung	-
IT und TK	Branchenspezifischer Sicherheitsstandard zur IT-Sicherheit (Bereiche Housing und Hosting), UP KRITIS BAK Datacenter & Hosting mit CDN, Version 2.01 (gültig bis Februar 25)
Finanzen und Versicherungen	Branchenspezifischer Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV, vdek & BAK GKV, Version 1.3.28 (gültig bis März 25) Branchenspezifischer Sicherheitsstandard des Bundesverbandes der electronic cash-Netzbetreiber, BecN e.V., Version 2.0, Website des BSI (gültig bis Mai 25) Branchenspezifischer Sicherheitsstandard Allianz Deutschland AG, Allianz ONE-Business Solutions GmbH, Verison 2.0, Website des BSI (gültig bis März 25)

Regulierung und Gesetze

In einigen KRITIS-Sektoren gibt es bestehende und weitergehende Regulierung, die teilweise Anforderungen für IT-Sicherheit enthält — auch unter KRITIS-Gesetzgebung behandelt.

EnWG und IT-Sicherheitskatalog

Energieversorger fallen neben der KRITIS-Regulierung auch unter das EnWG mit Cyber Security Anforderungen für Betreiber von Energieanlagen, Versorgungsnetzen, Kernkraft und weiteren. Manche werden als KRITIS-Betreiber durch §8a BSIG reguliert, andere wiederum durch §11 EnWG oder das ATG.

BAIT

Für die Belange von Banken gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Betreiber Kritischer Infrastrukturen. Das soll Doppelbelastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.

TKG und Sicherheitskatalog 2.0

KRITIS-Betreiber im Sektor IKT werden teilweise auch durch das Telekommunikationsgesetz reguliert, wenn sie öffentliche Telekommunikationsnetze oder -dienste betreiben. Für diese KRITIS-Anlagen sind nicht KRITIS-Maßnahmen verbindlich, sondern die Anforderungen für IT-Sicherheit in §165-169 TKG, das 2021 umfangreich überarbeitet wurde.

Cyber Security Maßnahmen und Umsetzung Sicherheitskatalog 2.0
Sicherheitskonzept und Sicherheitsbeauftragter
Kritische Komponenten (5G-Netzwerke)
Angriffserkennung und Meldepflichten BNetzA

Der Katalog von Sicherheitsanforderungen 2.0 der BNetzA beschreibt dazu Grundlagen für Sicherheitskonzept und zu treffende Maßnahmen bei TK-Betreibern.

Sicherheitskatalog 2.0	Inhalt
Sicherheitsmaßnahmen	Cyber Security Maßnahmen für TK-Anbieter und Betreiber
Rechtliche Grundlagen	Fernmeldegeheimnis, personenbezogene Daten, TK-Infrastruktur/Dienste
Umsetzung	Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen
TK mit IP-Infrastruktur	Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur
Gefährdungspotenzial	Zusätzliche Sicherheitsanforderungen für Netze und Dienste erhöhter Kritikalität

Die Maßnahmen können von TK-Sicherheitskatalog 2.0 zu KRITIS (C5) gemappt werden (PDF).

Internationale Industriestandards

Als Erweiterung zu den allgemeinen Standards gibt es eine Vielzahl internationaler Branchen- und Technologiestandards, die in bestimmten Industrien spezifische Sicherheitsmaßnahmen für dort eingesetzte Technologien definieren. Diese Standards definieren meist kein eigenes ISMS — sondern erweitern bestehende Strukturen um bestimmte Kontrollen und Bereiche.

ISO 2701X Technologien

Die verschiedenen ISO 2701X-Standards sind Empfehlungen für die Betreiber bestimmter Dienste und Technologien und enthalten als Code of practice zusätzliche Controls für technologie- und branchenspezifische Themen, die ISO 27001/27002 erweitern.

Die 2701X-Controls ändern und ergänzen die Anforderungen bestehender ISO 27001-Kapitel bzw. Annex-A-Domänen. Diese Empfehlungen erweitern das zugrundeliegende Management-Systeme (ISMS nach ISO 27001) und stellen keinen eigenen, zertifizierbaren Standard oder ISMS dar. Sie können von KRITIS-Betreibern jedoch als Ergänzung für Branchenspezifika genutzt werden.

ISO 27011 Telekommunikation: ISO/IEC 27011:2024 ist eine Empfehlung für Anbieter von Telekommunikationsnetzen und -diensten mit 14 eigenen Controls und telko-spezifischer Ergänzung der nativen ISO-Kontrollen. Die Version spiegelt bereits die neue Struktur der ISO/IEC 27001:2022 wider.
ISO 27017 Cloud: ISO/IEC 27017:2015 ist eine Empfehlung für Betreiber von Cloud-Diensten.
ISO 27018 Datenschutz in Cloud: ISO/IEC 27018:2018 ist eine Empfehlung für den Schutz personenbezogener Daten bei Public Cloud Anbietern.
ISO 27019 Energie: ISO/IEC 27019:2017 ist eine Empfehlung für Energieversorger, die Controls mit Schwerpunkt Prozesssteuerung, PLCs, Kommunikation, Smart Meters, Energie-Management, Smart Grids und angepasste Risiko-Methodiken enthält.

IEC 62443 Industriesicherheit

Der Standard IEC 62443 Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme definiert als Normenreihe Anforderungen für die Sicherheit industrieller Steuerung und Automatisierung (Industrial Automation and Control Systems - IACS).

IEC 62443 wird von KRITIS-Betreibern für die IT-Sicherheit von Industrieanlagen genutzt und ist in einigen Branchen dafür auch regulatorisch vorgeschrieben. Es gibt (noch) keine direkte Anwendung von IEC 62243 für KRITIS-Nachweise und -Maßnahmen

Für IEC 62243 gibt es (zurzeit) noch kein eigenständiges Zertifizierungsschema — möglich sind aber Zertifizierungen zusammen mit ISO 27001 als ISMS. Die IEC 62443 Normenreihe umfasst seit 2009 verschiedene Teilstandards, die teilweise noch in Arbeit sind:

eigene Zusammenstellung Normenreihe IEC 62443
Standard	Datum	Inhalt
62443-1-1	2009	Grundlagen und Konzepte
62443-1-2	i.A.	Terminologie
62443-1-3	i.A.	Metriken
62443-1-4	i.A.	Lebenszyklen
62443-1-5	i.A.	Regeln für Profile
62443-2-1	2010	Sicherheitsprogramm für Betreiber von Anlagen
62443-2-2	i.A.	Einstufung
62443-2-3	2015	Patch-Management
62443-2-4	2017	Anforderungen für Provider und Integratoren
62443-2-5	i.A.	Implementation guidance
62443-3-1	2009	Sicherheitstechnologien
62443-3-2	2017	Risiko-Assessment und System-Design
62443-3-3	2013	Technische Anforderungen an Systeme und Security-Level
62443-4-1	2018	Sichere Entwicklung (Development Lifecycle)
62443-4-2	2019	Technische Anforderungen an Produkte und Komponenten
62443-5-1	i.A.	Profile
62443-5-2	i.A.	Profile
62443-6-1	i.A.	Evaluierungsmethodik für IEC 62443-2-4 (Provider)
62443-6-2	i.A.	Evaluierungsmethodik für IEC 62443-4-2 (Produkte)

Bei der Umsetzung der einzelnen IEC 62443-Standards gibt es verschiedene Stufen:

Security Level: Geplante Schutzziele basierend auf Bedrohungen von 0 (keine besondere Anforderung) bis 4 (Angreifer mit Vorsatz, fortschrittliche Werkzeuge und Motivation).
Maturity Level: Reifegrade für die Umsetzung von IT-Sicherheit von 1 (initial und ad-hoc) bis 4 (kontinuierliche Verbesserung).

NERC CIP

NERC CIP, North American Electric Reliability Corporation Critical Infrastructure Protection, ist eine Normenreihe für IT-Sicherheit bei US-Amerikanischen Energieversorgern. Die CIP-Standards von CIP-002 bis CIP-014 umfassen eine Bandbreite an Cyber Security Themen von Personal, über Sicherheitsmanagement bis physischer Sicherheit.

CLC/TS 50701 Railway Cybersecurity

International gibt es seit Juli 2021 von CENELEC einen Standard für Sicherheit im Eisenbahnsektor, CLC/TS 50701 Railway applications - Cybersecurity, herausgegeben von TC 9X/WG 26.

Weitere Informationen

Literatur

KRITIS-Standards für Management-Systeme auf OpenKRITIS
Referenzierung des Kriterienkatalog Cloud Computing C5:2020 auf internationale Standards, Kreuzreferenztabelle C5, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Übersicht der Branchenspezifischen Sicherheitsstandards (B3S), Bundesamt für Sicherheit in der Informationstechnik, o.D.
NIST Critical Infrastructure Resources, National Institute of Standards and Technology
Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards, National Institute of Standards and Technology, September 2021

Quellen

ISO/IEC 27011:2024, Information security controls based on ISO/IEC 27002 for telecommunications organizations, ISO/IEC JTC 1/SC 27, 2024
ISO/IEC 27017:2015, Code of practice for Information security controls based on ISO/IEC 27002 for cloud services, ISO/IEC JTC 1/SC 27, 2015
ISO/IEC 27018:2019, Code of practice for Information security controls based on ISO/IEC 27002 for for protection of personally identifiable information (PII) in public clouds acting as PII processors, ISO/IEC JTC 1/SC 27, 2019
ISO/IEC 27019:2017, Code of practice for Information security controls based on ISO/IEC 27002 for the energy utility inndustry, ISO/IEC JTC 1/SC 27, 2019
CIP Standards, North American Electric Reliability Corporation, 2022