Sicherheitsstandards für Kritische Infrastrukturen

Nationale und internationale Sicherheits­standards können Betreibern beim Schutz ihrer Kritischen Infrastrukturen helfen, indem sie Cyber Security Maßnahmen nach Stand der Technik und strukturierte Steuerung im ISMS definieren. Die Standards lassen sich für KRITIS in zwei Gruppen einteilen:

Die KRITIS-Regulierung schreibt normativ keine Standards vor, die Betreiber nutzen müssen. Das OpenKRITIS Mapping von Security-Standards erleichtert die Zuordnung.

Standard Bereich Umfang Zertifikat BSIG-Prüfung
Management von Informations­sicherheit
BSI Konkretisierung KRITIS Kontrollen
IDW PH 9.860.2 KRITIS Kontrollen
NIST CSF KRITIS Vorgehen/Funktionen
ISO 27001:2013 Informations­sicherheit ISMS, Kontrollen
ISO 27001:2022 Informations­sicherheit Kontrollen
C5:2016 Cloud Kontrollen
C5:2020 Cloud Kontrollen
BSI IT-Grundschutz Informations­sicherheit ISMS, Vorgehen, Bausteine
Branchen, Industrien und Technologien
B3S Branchenstandards KRITIS-Branchen ISMS, Kontrollen
EnWG und SiKat Energie IT-Regulierung
BAIT Banken IT-Regulierung
TKG und Katalog 2.0 Telekommunikation IT-Regulierung
ISO 27011 Telekommunikation Zusatz-Kontrollen mit 27001
ISO 27017 Cloud Zusatz-Kontrollen mit 27001
ISO 27018 Datenschutz Cloud Zusatz-Kontrollen mit 27001
ISO 27019 Energie Zusatz-Kontrollen mit 27001
IEC 62443 Industrieanlagen Kontrollen, Vorgehen mit 27001
NERC CIP Energie Kontrollen, Vorgehen USA
CLC/TS 50701 Eisenbahn Kontrollen
Standards

Mapping von Cyber Security Standards und KRITIS

Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022

up

Weitere Informationen

Literatur

  1. Referenzierung des Kriterienkatalog Cloud Computing C5:2020 auf internationale Standards, Kreuzreferenztabelle C5, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. NIST Critical Infrastructure Resources, National Institute of Standards and Technology
  3. Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards, National Institute of Standards and Technology, September 2021
  4. Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß §8a Absatz 3 BSIG, FAQ, Bundesamt für Sicherheit in der Informationstechnik
  5. Broschüre Informations­sicherheit mit System - Der IT-Grundschutz des BSI", Bundesamt für Sicherheit in der Informationstechnik, 2021
  6. NIST Cybersecurity Framework, Webseite, NIST - National Institute of Standards and Technology