Stabsstelle NIS2 und KRITIS
Eine zentrale Stabsstelle für NIS2 und KRITIS bei regulierten Einrichtungen und Betreibern kann die vielen regulatorischen Pflichten koordinieren und Managementsysteme (ISMS, BCMS) harmonisieren. Neben Compliance kann die zentrale Stabsstelle operativ das Meldewesen ans BSI und die Registrierung beim BSI organisieren und sich um einheitliche Nachweise kümmern.
Mit dem ISMS kann die Stabsstelle NIS2 und KRITIS den regulierten Geltungsbereich der Kritischen Infrastrukturen definieren und die Maßnahmenumsetzung begleiten und überwachen. Die Anforderungen für diese regulatorischen Pflichten ergeben sich aus den Gesetzen: Für NIS2 aus dem neuen BSIG, für Betreiber zusätzlich aus dem KRITIS-Dachgesetz.
| Bereich | NIS2 DachG |
KdA BSIG alt |
Anforderung |
|---|---|---|---|
| Meldewesen | §32 (1) §33 (2) §18 |
97, 100 §8b (3-4) |
Kontaktstelle und Austausch mit Behörden Meldepflichten NIS2 Meldepflichten KRITIS-Dachgesetz |
| Stabsstelle | §31 (1) §30 (1) §13 |
§8a (1) | Steuerung angemessener & wirksamer Cybersecurity-Maßnahmen Steuerung von Resilienz-Maßnahmen |
| Nachweise | §30 (1) §39 (1) §16 |
§8b (3) |
Nachweise und Dokumentation im NIS2-Geltungsbereich Koordinierung der Nachweisprüfungen im KRITIS-Geltungsbereich Steuerung der Nachweise für das KRITIS-Dachgesetz |
Die weiteren Ausführungen unten weisen die BSI-Anforderungen der KdA (KRITIS) als Referenz den detaillierten Anforderungen des NIS2 Implementing Acts sowie BSI RUN-Reifegraden zu.
Meldewesen
Kontakt mit Behörden
Der Informationsaustausch mit relevanten Behörden und die Meldepflichten für Kritische Infrastrukturen sollten bei KRITIS-Betreibern zentral gesteuert werden — die KRITIS-Organisation kann dies als einheitliche Meldestelle im Unternehmen koordinieren.
| KdA | NIS2 DachG |
Anforderung | NIS2 IT‑Act |
ISO 27001 2022 |
RUN Grad |
|---|---|---|---|---|---|
| BSI-97 | Kontakt zu relevanten Behörden und Interessenverbänden | 4.3.3 6.10.2 |
A.5.5 A.5.6 |
2/3 | |
| BSI-100 | §33 (2) §8 (1) |
Einrichtung einer Kontaktstelle | A.5.5 A.5.31 |
3 | |
| §32 (1) §18 |
NIS2 und KRITIS-Meldepflichten KRITIS-Dachgesetz-Meldepflichten |
A.5.24 A.5.31 |
(1) |
Kontaktstelle
Die zentrale KRITIS-Organisation kann die jederzeit erreichbare
Kontaktstelle für Kritische Infrastrukturen beim Betreiber nach §8b Abs. 3 BSIG realisieren und beim BSI registrieren.
Sie nimmt dann Meldungen und Informationen von beiden Seiten an (Betrieb und BSI).
Meldepflichten
KRITIS-Betreiber müssen Störungen an Prozessen, Komponenten und IT der registrierten Anlagen an das BSI melden. Die zentrale KRITIS-Organisation kann diese Meldungen als zentrale Meldestelle annehmen, aufbereiten und an das BSI verschicken. Dabei ist sie auf Informationen der Cyber Security Angriffserkennung beim Betreiber angewiesen.
Informationsaustausch
Für Informationen zu aktuellen Bedrohungslage müssen Betreiber Kontakte zu relevanten Aufsichtsbehörden und staatlichen Stellen etablieren. Dazu sollte die zentrale KRITIS-Organisation Prozesse definieren, wie Informationen erhalten, ausgetauscht und innerhalb des Betreibers weitergeleitet werden — z.B. zu Schwachstellen und Angriffen.
Nachweise
Artefakte als Nachweis für ein funktionierendes Meldewesen sind u.a.:
- Registrierungsformular
- Gemeldete Vorfälle
- Teilnahme an Terminen
- Quittierungen
Stabsstelle
Koordinierung KRITIS und NIS2
Für die Sicherheit der eigenen KRITIS-Anlagen und Umsetzung angemessener Cyber Security Maßnahmen ist die Geschäftsführung der KRITIS-Betreiber verantwortlich. Die Registrierung der KRITIS-Anlagen, die Definition vom Geltungsbereich und Auswahl konkreter Maßnahmen kann durch die KRITIS-Organisation zentral mit dem ISMS koordiniert werden.
| KdA | NIS2 DachG |
Anforderung | NIS2 IT‑Act |
ISO 27001 2022 |
RUN Grad |
|---|---|---|---|---|---|
| alle | §30 (1) §31 (1) |
Wirksame Cybersecurity-Maßnahmen im NIS2-Geltungsbereich Spezifische Maßnahmen im KRITIS-Geltungsbereich |
alle | viele 6.1.3 8.3 A.5.31 |
(1) |
| §13 | Angemessene Resilienz-Maßnahmen im Geltungsbereich | ISO 22301 |
Einrichtungen
Regulierte NIS2-Einrichtungen müssen sich selbst identifizieren und beim BSI als wichtige oder besonders wichtige Einrichtung registrieren.
Der Geltungsbereich der regulierten Einrichtung erstreckt sich in der Regel auf die gesamte Einrichtung (Legaleinheit), was im Unternehmen durch die zentrale NIS2-Stabsstelle gesteuert und definiert werden sollte (Dienstleistungen, Prozesse, IT/OT).
Kritische Anlagen
Betreiben Einrichtungen zusätzlich kritische Anlagen (KRITIS), müssen sie diese im eigenen Betrieb identifizieren und sich selbst als Betreiber kritischer Anlagen beim BSI registrieren. Die NIS2-Stabsstelle kann die Identifizierung als Kritische Infrastruktur und Registrierung beim BSI zentral koordinieren.
Betreiber müssen dann den Geltungsbereich der Anlagen im eigenen Unternehmen definieren. Die NIS2-Stabsstelle sollte die Definition des Geltungsbereichs der Anlagen koordinineren — auf die zwingend notwendigen Prozesse und IT/OT für die Versorgungssicherheit begrenzt. Der Aufwand der Vorsorgemaßnahmen und Prüfungen hängt direkt von dieser Definition ab.
Vorgaben
Die NIS2-Stabsstelle kann die spezifischen Anforderungen von NIS2 und KRITIS im Betrieb in einer übergreifenden NIS2-Policy für den Geltungsbereich zentral definieren. Diese Policy fasst als NIS2-Vorgabewerk die wichtigsten Pflichten und Kontrollen der Kritischen Infrastrukturen im Rahmen des ISMS zusammen.
Cybersecurity
Betreiber und Einrichtungen müssen geeignete technische und organisatorische Maßnahmen in ihrem Geltungsbereich wirksam umsetzen. Eine zentrale Stabsstelle kann den Zielzustand im regulierten Bereich maßgeblich mitgestalten, im Einklang mit Geschäftsführung und Strategie.
Die zentrale Stabsstelle kann die Strategie in den Anlagen und Einrichtungen langfristig steuern — und die Ressourcen beim Aufbau mit Bedacht planen, anstatt reaktiv nach Vorfällen oder Prüfungen handeln zu müssen. Dabei helfen: ein risikoorientiertes Cybersecurity Programm, langfristiges Prüfprogramm und strategischer Umgang mit der eigenen Organisation und dem technologischen Wandel.
Nachweise
Artefakte für angemessene Cyber Security Vorbereitungen sind u.a.:
- Commitment der GF
- Cyber Security Pläne
- Mängellisten
- Ergebnisse der Prüfungen
Steuerung von Nachweisen
Die Umsetzung der Cybersecurity-Maßnahmen im Geltungsbereich durch Einrichtungen nachweissicher dokumentiert werden. Betreiber kritischer Anlagen (KRITIS) müssen die Angemessenheit und Wirksamkeit zusätzlich alle drei Jahre durch Nachweisprüfungen nachweisen.
Die NIS2-Stabsstelle kann die zentralen Nachweisprozesse und Nachweisprüfungen zentral steuern und langfristig durch ein strategisches Prüfprogramm organisieren. Die Nachweise aus den Prüfungen, Fragen im Vorfeld oder Klärungen und Rückfragen danach sollten ebenfalls zentral durch Stabsstelle gesteuert werden.
| KdA | NIS2 DachG |
Anforderung | NIS2 IT‑Act |
ISO 27001 2022 |
RUN Grad |
|---|---|---|---|---|---|
| §30 (1) | Dokumentationspflicht und Nachweise NIS2 | 2.2 | 10.1 A.5.36 |
(1) | |
| §39 (1) §18 |
Regelmäßige KRITIS-Nachweisprüfungen mit KRITIS-Dachgesetz |
2.3.1 | 9.2 10.1 A.5.35 A.5.36 A.8.34 |
(1) |
Nachweise
Nachweise für eine effektive Steuerung der Prüfungen sind u.a.:
- Fristgerechte Prüfungen
- Vollständige Unterlagen
- Rückfragen vom BSI
Integration im Unternehmen
Die KRITIS-Organisation muss zur Behebung mit weiteren Organisationen vernetzt sein.
- ISMS: Abgleich zu KRITIS-Anlagen und Geltungsbereich von Assets und IT; Austausch und gemeinsame Definition vom Cyber Security Niveau und Maßnahmen in KRITIS-Anlagen
- Angriffserkennung: Erhalt von Informationen zu meldepflichten Störungen
- BCM: Austausch zu Identifikation und Geltungsbereich von KRITIS-Anlagen
Weitere Informationen
Literatur
- Supply Chain Risk Management Practices for Federal Information Systems and Organizations, NIST SP 800-161, April 2015 (und Draft for Comments 2020)
- Managing Information Security Risk: Organization, Mission, and Information System View, NIST SP 800-39, März 2011
Quellen
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist