KRITIS Organisation

Eine zentrale KRITIS-Organisation kann bei KRITIS-Betreibern die vielen KRITIS-Pflichten koordinieren und als zentrale Stabsstelle operativ das Meldewesen ans BSI und die Registrierung beim BSI organisieren. Zusammen mit dem ISMS kann die KRITIS-Organisation den KRITIS-Geltungsbereich der Kritischen Infrastrukturen definieren und die Maßnahmen­umsetzung begleiten und überwachen.

Im BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen wird das Meldewesen erwähnt, die anderen ergeben sich aus dem BSI-Gesetz:

Bereich BSI-ID Anforderung
Externe Steuerung 97, 100
§8b (3-4) BSIG
98-99
Kontaktstelle und Austausch mit Behörden
Meldepflichten
Steuerung und Kontrolle Externer in KRITIS-Anlagen
KRITIS-Stabsstelle §8a (1) BSIG
§8a (3) BSIG
Steuerung der Cyber Security im KRITIS-Geltungsbereich
Koordinierung der KRITIS-Nachweisprüfungen

up

Externe Steuerung

Meldewesen

Der Informationsaustausch mit relevanten Behörden und die Meldepflichten für Kritische Infrastrukturen sollten bei KRITIS-Betreibern zentral gesteuert werden — die KRITIS-Organisation kann dies als einheitliche Meldestelle im Unternehmen koordinieren.

BSI-ID Anforderung
BSI-97 Kontakt zu relevanten Behörden und Interessenverbänden
BSI-100 Einrichtung einer Kontaktstelle
§8b (3-4) BSIG KRITIS-Meldepflichten

Kontaktstelle

Die zentrale KRITIS-Organisation kann die jederzeit erreichbare Kontaktstelle für Kritische Infrastrukturen beim Betreiber nach §8b Abs. 3 BSIG realisieren und beim BSI registrieren. Sie nimmt dann Meldungen und Informationen von beiden Seiten an (Betrieb und BSI).

Meldepflichten

KRITIS-Betreiber müssen Störungen an Prozessen, Komponenten und IT der registrierten Anlagen an das BSI melden. Die zentrale KRITIS-Organisation kann diese Meldungen als zentrale Meldestelle annehmen, aufbereiten und an das BSI verschicken. Dabei ist sie auf Informationen der Cyber Security Angriffserkennung beim Betreiber angewiesen.

Informationsaustausch

Für Informationen zu aktuellen Bedrohungslage müssen Betreiber Kontakte zu relevanten Aufsichtsbehörden und staatlichen Stellen etablieren. Dazu sollte die zentrale KRITIS-Organisation Prozesse definieren, wie Informationen erhalten, ausgetauscht und innerhalb des Betreibers weitergeleitet werden — z.B. zu Schwachstellen und Angriffen.

Nachweise

Artefakte als Nachweis für ein funktionierendes Meldewesen sind u.a.:

  1. Registrierungsformular
  2. Gemeldete Vorfälle
  3. Teilnahme an Terminen
  4. Quittierungen

up

Informationssicherheit bei Dritten

Beim Einsatz und der Beauftragung von Externen wie Dienstleistern und Lieferanten müssen die Sicherheitsanforderungen in KRITIS-Anlagen gewährleistet werden. Die zentrale KRITIS-Organisation kann den Umgang mit Externen speziell in KRITIS-Anlagen überwachen.

  1. Vorgaben für Externe: Die Sicherheitsanforderungen des ISMS müssen für Dienstleister, Lieferanten und Externe in den KRITIS-Anlagen verbindlich gemacht werden. Dies umfasst KRITIS-relevante Mindestanforderungen für Externe, Schutz von Informationen, Incident Management und Vorfallmeldungen und die Integration ins eigene Risiko-Management.
  2. Kontrolle der Einhaltung: Die Anforderungen an Externe müssen vertraglich festgehalten und kontrolliert, und operativ durch Audits, Tests, Zertifizierungen überprüft werden. Das Lieferanten- und Provider Management muss dafür aktiv ins ISMS eingebunden werden.
BSI-ID Anforderung
BSI-98 Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister
BSI-99 Kontrolle der Leistungserbringung und Sicherheitsanforderungen an Dienstleister

Nachweise

Artefakte als Nachweis für Informationssicherheit im Umgang mit Externen sind u.a.:

  1. Vertragsklauseln
  2. IS-Vorgaben für Externe
  3. Auswertung SLAs
  4. Auswertung Audits

up

KRITIS-Stabsstelle

Koordinierung von KRITIS im Unternehmen

Für die Sicherheit der eigenen KRITIS-Anlagen und Umsetzung angemessener Cyber Security Maßnahmen ist die Geschäftsführung der KRITIS-Betreiber verantwortlich. Die Registrierung der KRITIS-Anlagen, die Definition vom Geltungsbereich und Auswahl konkreter Maßnahmen kann durch die KRITIS-Organisation zentral mit dem ISMS koordiniert werden.

BSI-ID Anforderung
§8a (1) BSIG Angemessene Cyber Security Maßnahmen im KRITIS-Geltungsbereich

KRITIS-Anlagen

Betreiber sind für die Identifikation von KRITIS-Anlagen im eigenen Betrieb und Feststellung der eigenen Betroffenheit als Kritische Infrastruktur verantwortlich. Die KRITIS-Organisation beim Betreiber kann die Identifizierung als Kritische Infrastruktur und Registrierung beim BSI zentral koordinieren — ebenso den weiteren Informationsaustausch dazu.

Geltungsbereich

Nach Feststellung der eigenen Betroffenheit müssen Betreiber den Geltungsbereich der KRITIS-Anlagen im eigenen Unternehmen definieren. Die zentrale KRITIS-Organisation sollte die Definition des Geltungsbereichs der KRITIS-Anlagen koordinineren — die KRITIS-Anlagen sollten auf die zwingend notwendigen Prozesse und IT/OT für die Versorgungssicherheit begrenzt werden. Der Aufwand der Vorsorgemaßnahmen und Prüfungen hängt direkt von dieser Definition ab.

Vorgaben für KRITIS

Die KRITIS-Organisation kann die spezifischen Anforderungen von KRITIS im Betrieb in einer übergreifenden KRITIS-Policy für den Geltungsbereich zentral definieren. Diese Policy fasst als KRTITIS-Vorgabewerk die wichtigsten Pflichten und Kontrollen der Kritischen Infrastrukturen im Rahmen des ISMS zusammen.

Cyber Security in KRITIS

Betreiber müssen nach §8a (1) BSIG geeignete technische und organisatorische Maßnahmen in den registrierten KRITIS-Anlagen treffen. Die zentrale KRITIS-Organisation sollte den Cyber Security Zielzustand im KRITIS-Geltungsbereich maßgeblich mitgestalten, im Einklang mit Geschäftsführung und ISMS — die Risiken und Schutzziele der KRITIS-Anlagen können andere Prioritäten verlangen als der reguläre Geschäftsbetrieb, IT oder ISMS.

Die zentrale KRITIS-Organisation kann die Cyber Security Strategie in den KRITIS-Anlagen langfristig steuern — und die Ressourcen beim Aufbau des Sicherheitsniveaus mit Bedacht planen, anstatt rein reaktiv nach Vorfällen oder Prüfungen handeln zu müssen. Dabei helfen: ein risiko­orientiertes Cyber Security Programm, ein langfristiges Prüfprogramm und ein strategischer Umgang mit der eigenen Organisation und dem technologischen Wandel.

Nachweise

Artefakte für angemessene Cyber Security Vorbereitungen sind u.a.:

  1. Commitment der GF
  2. Cyber Security Pläne
  3. Mängellisten
  4. Ergebnisse der Prüfungen

up

Steuerung der Prüfungen

Die Angemessenheit und Wirksamkeit der IT-Sicherheitsmaßnahmen in den KRITIS-Anlagen muss durch KRITIS-Betreiber alle zwei Jahre durch BSIG-Nachweisprüfungen nachgewiesen werden. Die zentrale KRITIS-Organisation kann die Planung, Beauftragung und Durchführung der Prüfungen steuern — und langfristig durch ein strategisches Prüfprogramm organisieren.

Die Nachweise aus den Prüfungen, Fragen im Vorfeld oder Klärungen und Rückfragen danach sollten ebenfalls zentral durch die KRITIS-Organisation gesteuert werden.

BSI-ID Anforderung
§8a (3) BSIG Regelmäßige KRITIS-Nachweisprüfungen

Nachweise

Nachweise für eine effektive Steuerung der Prüfungen sind u.a.:

  1. Fristgerechte Prüfungen
  2. Vollständige Unterlagen
  3. Rückfragen vom BSI

up

Integration im Unternehmen

Die KRITIS-Organisation muss zur Behebung mit weiteren Organisationen vernetzt sein.

  1. ISMS: Abgleich zu KRITIS-Anlagen und Geltungsbereich von Assets und IT; Austausch und gemeinsame Definition vom Cyber Security Niveau und Maßnahmen in KRITIS-Anlagen
  2. Angriffserkennung: Erhalt von Informationen zu meldepflichten Störungen
  3. BCM: Austausch zu Identifikation und Geltungsbereich von KRITIS-Anlagen

up

Weitere Informationen

Literatur

  1. Supply Chain Risk Management Practices for Federal Information Systems and Organizations, NIST SP 800-161, April 2015 (und Draft for Comments 2020)
  2. Managing Information Security Risk: Organization, Mission, and Information System View, NIST SP 800-39, März 2011

Quellen

  1. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
  2. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist