Security Standards für KRITIS
Nationale und internationale Sicherheitsstandards können Betreibern beim Schutz ihrer Kritischen Infrastrukturen helfen, indem sie Cyber Security Maßnahmen nach Stand der Technik und strukturierte Steuerung im ISMS definieren. Die Standards lassen sich für KRITIS in zwei Gruppen einteilen:
- Management von Informationssicherheit: Umfassende Standards, die ein allgemeines Managementsystem zum Umgang mit Risiken und Informationssicherheit definieren — mit Methodik und Struktur.
- Branchen, Industrien und Technologien: Standards, die sich meist auf eine bestimmte Branche beschränken und dort spezifische Vorgaben für Sicherheitsmaßnahmen für die Anlagen oder IT der Branche definieren.
Die KRITIS-Regulierung schreibt normativ keine Standards vor, die Betreiber nutzen müssen. Das OpenKRITIS Mapping von Security-Standards erleichtert die Zuordnung.
| Standard | Bereich | Umfang | Zertifikat | BSIG-Prüfung |
|---|---|---|---|---|
| Management von Informationssicherheit | ||||
| BSI Konkretisierung | KRITIS | Kontrollen | ⚫ | |
| IDW PH 9.860.2 | KRITIS | Kontrollen | ⚫ | |
| NIST CSF | KRITIS | Vorgehen/Funktionen | ||
| ISO 27001:2013 | Informationssicherheit | ISMS, Kontrollen | ⚫ | ⬚ |
| ISO 27001:2022 | Informationssicherheit | Kontrollen | ||
| C5:2016 | Cloud | Kontrollen | ⬚ | |
| C5:2020 | Cloud | Kontrollen | ⚫ | ⬚ |
| BSI IT-Grundschutz | Informationssicherheit | ISMS, Vorgehen, Bausteine | ⚫ | ⬚ |
| Branchen, Industrien und Technologien | ||||
| B3S Branchenstandards | KRITIS-Branchen | ISMS, Kontrollen | ⚫ | |
| EnWG und SiKat | Energie | IT-Regulierung | ||
| BAIT | Banken | IT-Regulierung | ⬚ | |
| TKG und Katalog 2.0 | Telekommunikation | IT-Regulierung | ||
| ISO 27011 | Telekommunikation | Zusatz-Kontrollen | mit 27001 | |
| ISO 27017 | Cloud | Zusatz-Kontrollen | mit 27001 | |
| ISO 27018 | Datenschutz Cloud | Zusatz-Kontrollen | mit 27001 | |
| ISO 27019 | Energie | Zusatz-Kontrollen | mit 27001 | |
| IEC 62443 | Industrieanlagen | Kontrollen, Vorgehen | mit 27001 | |
| NERC CIP | Energie | Kontrollen, Vorgehen | USA | |
| CLC/TS 50701 | Eisenbahn | Kontrollen | ||
DE Mapping von Cyber Security Standards und KRITIS
Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙
OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022
Weitere Informationen
Literatur
- Referenzierung des Kriterienkatalog Cloud Computing C5:2020 auf internationale Standards, Kreuzreferenztabelle C5, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- NIST Critical Infrastructure Resources, National Institute of Standards and Technology
- Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards, National Institute of Standards and Technology, September 2021
- Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß §8a Absatz 3 BSIG, FAQ, Bundesamt für Sicherheit in der Informationstechnik
- Broschüre Informationssicherheit mit System - Der IT-Grundschutz des BSI", Bundesamt für Sicherheit in der Informationstechnik, 2021
- NIST Cybersecurity Framework, Webseite, NIST - National Institute of Standards and Technology