KRITIS und die geltenden gesetzlichen Anforderungen in der Informationstechnik.
Sogenannte kritische Infrastrukturen (KRITIS) haben für das Gemeinwesen eine besondere Bedeutung. Fallen diese Organisationen oder Einrichtungen aus, drohen Engpässe in der Versorgung mit lebenswichtigen Gütern, Beeinträchtigungen der öffentlichen Sicherheit und weitere ernsthafte Folgen. Der Gesetzgeber hat deshalb in verschiedenen Sektoren Organisationen und Einrichtungen erfasst, die zu den KRITIS gerechnet werden. Es handelt sich um die Bereiche
– Staat und Verwaltung
– Energie
– IT und TK
– Transport und Verkehr
– Gesundheit
– Medien und Kultur
– Wasser
- Ernährung
– Finanz- und Versicherungswesen
– Siedlungsabfallentsorgung nach BSIG
KRITIS sind von verschiedenen Seiten besonderen Gefahren ausgesetzt. Diese werden unterschieden in natürliche und vom Menschen ausgehende Bedrohungspotenziale. Im Bereich der natürlichen Gefahren ist insbesondere an Naturkatastrophen wie Stürme, Dürren, Erdbeben und andere zu denken. Auch Pandemie und Epidemien sind in diesem Bereich angesiedelt. Vom Menschen her drohen Krieg, terroristische Anschläge, Sabotage oder Manipulationen der IT etwa durch Schadprogramme. Das Gefahrenpotenzial steigt allgemein durch die zunehmende Vernetzung der verschiedenen Sektoren und Branchen. Domino- und Kaskadeneffekte sind ein spezifisches Gefahren-Szenario, in dem sich teilweise über die verschiedenen Sektoren hinweg immer intensivere Störungen sowie Beeinträchtigungen ergeben können. Die Abhängigkeit der Sektoren untereinander nimmt zu. Energiesysteme sind etwa immer stärker abhängig von Kommunikationsstrukturen der IT. Unter diesen Gesichtspunkten steigt auch die Bedeutung der KRITIS immer weiter.
Gesetzliche Anforderungen an KRITIS
Aufgrund der geschilderten Gefahrenszenarien reguliert der Gesetzgeber KRITIS. Rechtsgrundlagen für die Regulierung der KRITIS sind:
– das IT-Sicherheitsgesetz
– das BSI-Gesetz
– die BSI-KRITIS-Verordnung
– die NIS-Richtlinie
Im Mittelpunkt stehen die digitalen Infrastrukturen und IT-Systeme. Für deren Sicherheit müssen die Betreiber von KRITIS sorgen.
Wer gehört konkret zu den KRITIS?
Abgesehen von der Sektoreneinteilung gelten bestimmte Schwellenwerte und andere Voraussetzungen für die Einordnung als kritische Infrastruktur. Einzelheiten regelt vorrangig die BSI-KRITIS-Verordnung. Ein Regel-Schwellenwert ist bei der Versorgung von 500.000 Personen angesiedelt. Die Schwellenwerte sind strikt anlagenbezogen. Die gesetzlichen Anforderungen beziehen sich dabei jeweils auf die IT-Systeme, die für die Funktionsfähigkeit der Anlagen unverzichtbar sind.
Pflichten für die Betreiber der kritischen Infrastrukturen
Wer eine kritische Anlage betreibt, muss
– eine Kontaktstelle benennen.
– Störungen der IT oder erhebliche Beeinträchtigungen in diesem Bereich melden.
– die Sicherheit im Bereich IT auf dem Stand der Technik gewährleisten.
– alle diese Maßnahmen in einem 2-Jahres-Turnus gegenüber dem BSI nachweisen.
BSI-Grundschutz und weitere Anforderungen im Informationssicherheitsmanagement
Für die konkreten Maßnahmen im Bereich der kritischen Infrastrukturen zum Schutz der IT ist der maßgebliche Ausgangspunkt der Stand der Technik. Eine große Rolle spielt außerdem der BSI-Grundschutz.
BSI-Grundschutz
Das BSI selbst bestimmt eigene Standards, die als IT-Grundschutz Basis eines Informationssicherheitsmanagements sein können. Hier werden auch bestimmte Vorgehensweisen bei der Umsetzung für den IT-Grundschutz festgelegt. Das BSG empfiehlt, für den Nachweis bei der Erfüllung der spezifischen KRITIS-Anforderungen die BSI-IT-Grundschutz-Methodik anzuwenden.
Die Methodik basiert unter anderem auf folgenden Säulen:
– Fokus auf der kritischen Dienstleistung als Ausgangspunkt
– Entwicklung einer branchenspezifischen Referenzarchitektur
– Ableitung branchenspezifischer Sicherheitsstandards
REX ITOC ist an Ihrer Seite, wenn Sie aus dem BSI-IT-Grundschutz spezifische Sicherheitsstandards für Ihr KRITIS-Unternehmen ableiten.
Was ist der Stand der Technik?
Der Gesetzgeber nimmt Rückgriff auf einen unbestimmten Rechtsbegriff. Damit kann gewährleistet werden, dass jeweils die aktuellen Anforderungen an die IT-Sicherheit gelten. Regelmäßig ist hier die technische Entwicklung schneller als der Gesetzgeber. Was im jeweiligen Zeitpunkt Stand der Technik ist, bestimmt sich unter anderem nach international geltenden Regeln und Normen wie etwa DIN, ISO, DKE und ISO/IEC. Die Betreiber/Verbände in bestimmten Sektoren können selbst den Stand der Technik über branchenspezifische Sicherheitsstandards (B3S) festlegen. Vor ihrer Geltung werden die B3S dem BSI zur Eignungsprüfung vorgestellt. In einzelnen Bereichen, speziell der Energieversorgung sowie der öffentlichen Telekommunikation hat außerdem die Bundesnetzagentur einen eigenen verbindlichen IT-Sicherheitskatalog erstellt.
Informationssicherheitsmanagement nach B35-Standard
Die Sicherheitsstandards nach B3S geben den Betreibern mehr eigene Sicherheit im Umgang mit IT-Sicherheitsanforderungen. Sie sind allerdings in den jeweiligen Bereichen nicht verbindlich. Der Betreiber kann die Umsetzung der gesetzlichen Anforderungen auch in anderer Weise sicherstellen. Maßgeblich ist § 8a Abs. 1 BSIG.
Informationssicherheitsmanagement (ISMS) gemäß ISO 27001
Unter anderem kann ein bestehendes Zertifikat nach ISO 27001 als Nachweis im Sinne von § 8a Abs. 3 BSIG genutzt werden. Möglich ist dies für originäre Zertifikate nach ISO 27001 und für solche auf Grundlage des IT-Grundschutzes. Dabei sind jedoch bestimmte Anforderungen einzuhalten. Nicht immer erfasst ein Zertifikat nach ISO 27001 den gesamten relevanten Bereich, den § 8a BSIG definiert. Eine ISO 27001 Zertifizierung kann deshalb nur im Rahmen des BSIG als Nachweis gelten, wenn die gesamte kritische Infrastruktur durch die Zertifizierung vollständig abgedeckt wird. Man spricht in diesem Zusammenhang von einer Prozess-Sicht auf das Zertifikat. Außerdem sind insgesamt die KRITIS-Maßstäbe anzulegen. Da etwa die Vermeidung von Engpässen in der Versorgung in jeder kritischen Dienstleistung größte Bedeutung hat, muss dieser Gesichtspunkt in der Zertifizierung zum Ausdruck kommen. Unter Umständen lässt sich eine vorhandene ISO 27001-Zertifizierung auf die KRITIS-spezifischen Gesichtspunkte ausweiten. REX ITOC berät und unterstützt Ihr Unternehmen in diesem Bereich.
KRITIS-Anforderungen souverän bewältigen
REX ITOC stellt Ihnen erfahrene Spezialisten und Auditoren zur Seite. Gemeinsam mit REX ITOC gewährleisten Sie als KRITIS Betreiber jederzeit die spezifischen Anforderungen an die IT-Sicherheit und das IT-Management. Ebenso ist die beständige Weiterentwicklung der IT-Sicherheit mit Blick auf die Veränderungen beim Stand der Technik gewährleistet. REX ITOC sorgt außerdem dafür, dass ihr Team entsprechend weitergebildet wird. Sie werden umfassend beraten, regelmäßig betreut und begleitet. Das gilt auch für etwaige Zertifizierungsverfahren. So bewältigen Sie die gesetzlichen Verpflichtungen im Zusammenhang mit KRITIS jederzeit.