Standards für KRITIS
Nationale und internationale Sicherheitsstandards können KRITIS-Betreibern beim Schutz ihrer Kritischer Infrastrukturen helfen, indem sie angemessene Cyber Security Maßnahmen und eine Vorgehensweise zum Umsetzung nach Stand der Technik definieren. Die Standards lassen sich in zwei Gruppen einteilen:
- Management von Informationssicherheit: Umfassende Standards, die ein allgemeines Managementsystem zum Umgang mit Risiken und Informationssicherheit definieren — in der Regel mit verbindlicher Methodik und Struktur.
- Branchen und Spezifika: Standards, die sich meist auf eine bestimmte Branche beschränken und dort spezifische Vorgaben für Sicherheitsmaßnahmen für die Anlagen oder IT der Branche definieren.
Die KRITIS-Regulierung schreibt normativ keine Standards vor, die Betreiber nutzen müssen, Betreiber können die Organisation und konkrete Maßnahmen frei entscheiden.
| Standard | Bereich | Umfang | Zertifikat | BSIG-Prüfung |
|---|---|---|---|---|
| Management von Informationssicherheit | ||||
| BSI Konkretisierung | KRITIS | Kontrollen | ⚫ | |
| NIST CSF | KRITIS | Vorgehen/Funktionen | ||
| ISO 27001 | Informationssicherheit | ISMS, Kontrollen | ⚫ | ⬚ |
| C5 | Cloud | ISMS, Kontrollen | ⚫ | ⬚ |
| BSI IT-Grundschutz | Informationssicherheit | ISMS, Vorgehen, Bausteine | ⚫ | ⬚ |
| Branchen und Spezifika | ||||
| B3S Branchenstandards | KRITIS-Branchen | ISMS, Kontrollen | ⚫ | |
| EnWG und SiKat | Energie | IT-Regulierung | ||
| BAIT | Banken | IT-Regulierung | ⬚ | |
| TKG und Katalog 2.0 | Telekommunikation | IT-Regulierung | ||
| ISO 27011 | Telekommunikation | Zusatz-Kontrollen | mit 27001 | |
| ISO 27017 | Cloud | Zusatz-Kontrollen | mit 27001 | |
| ISO 27018 | Datenschutz Cloud | Zusatz-Kontrollen | mit 27001 | |
| ISO 27019 | Energie | Zusatz-Kontrollen | mit 27001 | |
| IEC 62443 | Industrieanlagen | Kontrollen, Vorgehen | mit 27001 | |
| NERC CIP | Energie | Kontrollen, Vorgehen | USA | |
| CLC/TS 50701 | Eisenbahn | Kontrollen | ||
DE Mapping von Cyber Security Standards und KRITIS
Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙
OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022
Weitere Informationen
Literatur
- Referenzierung des Kriterienkatalog Cloud Computing C5:2020 auf internationale Standards, Kreuzreferenztabelle C5, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- NIST Critical Infrastructure Resources, National Institute of Standards and Technology
- Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards, National Institute of Standards and Technology, September 2021
- Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß §8a Absatz 3 BSIG, FAQ, Bundesamt für Sicherheit in der Informationstechnik
- Broschüre Informationssicherheit mit System - Der IT-Grundschutz des BSI", Bundesamt für Sicherheit in der Informationstechnik, 2021
- NIST Cybersecurity Framework, Webseite, NIST - National Institute of Standards and Technology