Kritische Infrastrukturen (KRITIS) sind auf eine funktionierende IT angewiesen. Zum Schutz Kritischer Infrastrukturen wurde deshalb von staatlicher Seite das BSI-Gesetz (BSIG) geändert. Danach sind Betreiber Kritischer Infrastrukturen verpflichtet, „angemessene organisatorische und technische Vorkehrungen […] zu treffen“ (§ 8a Abs. BSIG) und diese „mindestens alle zwei Jahre […] nachzuweisen“ (§ 8a Abs. 3 BSIG).
Prüfgrundlage kann ein sogenannter Branchenspezifischer Sicherheitsstandard (B3S) sein – muss aber nicht. Auch ISO/IEC 27001 kann für eine §8a-Prüfung genutzt werden. Darüber hinaus gibt es Bereiche, für die eigene gesetzliche Vorgaben gelten: So müssen z.B. Netzbetreiber (Strom/Gas) die Vorgaben des von der Bundesnetzagentur veröffentlichten IT-Sicherheitskatalogs erfüllen.
Zur Durchführung der Prüfungen sind entsprechende „prüfende Stellen“ und „Prüfer“ eines Prüfteams vorgesehen. Die datenschutz cert GmbH erfüllt als DAkkS-akkreditierte Zertifizierungsstelle, BSI-anerkannte Prüfstelle sowie IT-Sicherheitsdienstleister des BSI die Anforderungen einer prüfenden Stelle und verfügt über Prüfer, die die entsprechende Prüfverfahrenskompetenz für § 8a (3) BSIG mitbringen. Damit können wir Ihre Kritische Dienstleistung gem. §8a prüfen.
Im Nachfolgenden werden alle wichtigen Fragen geklärt.
Die gesetzliche Vorgabe ergibt sich aus dem BSI-Gesetz. Zunächst einmal sind dies die Anforderungen an den Betreiber gem. §8a Abs. 1 BSIG: „Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“
Als Maßstab, was ein Betreiber umzusetzen hat, kann(!) ein Branchenspezifischer Sicherheitsstandard genutzt werden. §8a Abs. 2 BSIG normiert, wer einen solchen Branchenspezifischen Sicherheitsstandard – einen sogenannten „B3S“ – erarbeiten und abnehmen darf: „Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.“
Die Umsetzung der Anforderungen aus §8a Abs. 1 BSIG reicht allerdings alleine nicht aus, die Umsetzung muss auch nachgewiesen werden; dies normiert §8a Abs. 3 BSIG: „Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.“
Kritische Infrastrukturen (KRITIS) sind auf eine funktionierende IT angewiesen. Zum Schutz Kritischer Infrastrukturen wurde deshalb von staatlicher Seite das BSI-Gesetz (BSIG) geändert. Danach sind Betreiber Kritischer Infrastrukturen verpflichtet, „angemessene organisatorische und technische Vorkehrungen […] zu treffen“ (§ 8a Abs. BSIG) und diese „mindestens alle zwei Jahre […] nachzuweisen“ (§ 8a Abs. 3 BSIG).
Prüfgrundlage kann ein sogenannter Branchenspezifischer Sicherheitsstandard (B3S) sein – muss aber nicht. Auch ISO/IEC 27001 kann für eine §8a-Prüfung genutzt werden. Darüber hinaus gibt es Bereiche, für eigene gesetzliche Vorgaben gelten: So müssen z.B. Netzbetreiber (Strom/Gas) die Vorgaben des von der Bundesnetzagentur veröffentlichten IT-Sicherheitskatalogs erfüllen.
Zur Durchführung der Prüfungen sind entsprechende „prüfende Stellen“ und „Prüfer“ eines Prüfteams vorgesehen. Die datenschutz cert GmbH erfüllt als DAkkS-akkreditierte Zertifizierungsstelle, BSI-anerkannte Prüfstelle sowie IT-Sicherheitsdienstleister des BSI die Anforderungen einer prüfenden Stelle und verfügt über Prüfer, die die entsprechende Prüfverfahrenskompetenz für § 8a (3) BSIG mitbringen. Damit können wir Ihre Kritische Dienstleistung gem. §8a prüfen.
Im Nachfolgenden werden alle wichtigen Fragen geklärt.
Unter die Rubrik „Betreiber Kritischer Infrastrukturen (KRITIS)“ fallen die folgenden Sektoren und Branchen:
Zu beachten sind jedoch pro Branche individuell festgelegte Schwellwerte, diese sind in der KRITIS-VO aufgeführt: „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)“ vom 22.04.2016 samt „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ vom 21.06.2017.
Rund um §8a-Verfahren sind mehrere Akteure involviert:
Was ein Betreiber einer Kritischen Infrastruktur erfüllen muss, ergibt sich direkt aus §8a Abs. 1 BSIG: Der KRITIS-Betreiber muss
Um diesen gesetzlichen Anforderungen nachzukommen, ist ein strukturierter Ansatz notwendig. Ziel ist es, zunächst den Geltungsbereich (Scope) der Kritischen Infrastruktur sauber darzustellen und von anderen Bereichen abzutrennen, sowie alle Schnittstellen zu anderen Bereichen zu beschreiben. Im nächsten Schritt ist der Schutzbedarf unter Berücksichtigung der im BSIG genannten Sicherheitszielen zu definieren, um danach eine Risikoanalyse durchzuführen und hierbei auch sektor-spezifische Bedrohungen, Gefährdungen und Schwachstellen zu identifizieren. Anschließend geht es um die Behandlung dieser Risiken, wobei das BSI die Möglichkeiten Risikoakzeptanz und -verlagerung einschränkt. Somit sind die typischen Maßnahmen der Informationssicherheit anzuwenden; das BSI nennt etwa:
Auch wenn die geforderte Vorgehensweise stark an ein ISMS, konform zu ISO/IEC 27001, erinnert, die Antwort ist: Nicht zwingend. Der Geltungsbereich der ISO/IEC 27001-Zertifizierung muss alle relevanten Werte und Prozesse der kritischen Infrastruktur umfassen. Darüber hinaus müssen die Besonderheiten des §8a BSIG berücksichtigt werden. Hierzu zählen die Besonderheiten des Risikomanagements ebenso wie wie mögliche branchenspezifische Gefährdungen und Anforderungen umgesetzt wurden.
Gleichwohl: Wer bereits ISO/IEC 27001 umgesetzt hat, den dürften die Anforderungen aus §8a nicht weiter überraschen, weil diese zusätzlichen Anforderungen im Rahmen der kontinuierlichen Verbesserung leicht nachgezogen werden können.
Es gibt mehrere Möglichkeiten:
Vorteil eines vom BSI abgenommen B3S ist natürlich, dass dieser vollständig für die jeweilige Branche den Maßstab definiert.
Wie bereits ausgeführt: Es gibt keine Verpflichtung, einen existierenden B3S für seinen Sektor anzuwenden.
Wer abweichend ISO/IEC 27001 nutzt, muss ggf. nachweisen, dass die branchenspezifischen Eigenheiten angemessen berücksichtigt sind. Und es sind die Vorgaben der B3S-Orientierungshilfe „Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG“ zu beachten.
Wer sogar einen gänzlich individuellen Ansatz wählt, muss ggf. nachweisen, dass nicht nur die Besonderheiten der Branche und der Orientierungshilfe beachtet wurden, sondern auch ein Ansatz nach Stand der Technik.
Damit ist ein anerkannter Standard auf jeden Fall zu empfehlen.
Die Prüfgrundlage ist formal nicht zwingend identisch zu der Methode, die der KRITIS-Betreiber bei der Implementierung seines ISMS genutzt hat – obwohl dies natürlich sinnvoll wäre.
Deshalb muss die Prüfgrundlage festgelegt werden. Das BSI sieht dazu die folgenden Varianten vor:
Sofern kein anerkannter B3S genutzt wird, sind die Vorgaben der B3S-Orientierungshilfe „Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG“ zu nutzen.
Auch hier gilt: Ein für die Branche existierender B3S muss nicht verpflichtend genutzt werden.
Was empfiehlt die datenschutz cert? Ganz klar: die Kombination aus §8a-Prüfung und ISO/IEC 27001-Zertifizierung. Denn ein ISO/IEC 27001-konformes ISMS gibt Ihnen die „Werkzeuge“ samt Methodik in die Hand, um die sektorspezifischen Besonderheiten angemessen zu berücksichtigen. Und er ist anerkanntermaßen Stand der Technik. Sofern Sie als KRITIS-Betreiber allerdings ein ISO/IEC 27001-Zertifikat nicht benötigt, ist zumindest eine Auditierung gem. ISO/IEC 27001 sinnvoll.
Wenn der KRITIS-Betreiber die Anforderungen gem. §8a Abs. 1 BSIG umgesetzt hat und den Prüfungsnachweis gem. §8a Abs. 3 BSIG anstrebt, muss er eine prüfende Stelle auswählen und mit dieser die Prüfgrundlage abstimmen.
Auch hier reduziert sich der Aufwand erheblich, wenn eine standardisierte Methode genutzt wird – wie etwa ein anerkannter B3S oder ISO/IEC 27001. Grundsätzlich sind akkreditierte ISO/IEC 27001-Zertifizierungsstellen vom BSI als geeignete prüfende Stelle vorgesehen.
Die datenschutz cert GmbH erfüllt diese Anforderungen und ist daher eine „prüfende Stelle“.
Wenn der KRITIS-Betreiber eine prüfende Stelle ausgewählt hat, muss er lt. BSI dem Prüfteam folgende Unterlagen zur Verfügung stellen:
Die Prüfer und Branchenexperten des Prüfteams, die von der prüfenden Stelle beauftragt wurden, führen die Prüfung durch.
Als Prüfgrundlage wird die mit dem KRITIS-Betreiber abgestimmte Prüfgrundlage gewählt.
Zentrales Element der Prüfung sind folgende Aspekte:
Im Ergebnis gibt vier mögliche Feststellungen:
Alle Abweichungen und Sicherheitsmängel werden im Prüfbericht aufgenommen; dazu: Geplante Nachverfolgung, zu ergreifende Maßnahmen sowie die Frist zur Beseitigung. Ferner normiert das BSI, dass die Umsetzung nicht nur festgelegt, sondern auch überwacht werden muss.
Wird ein Sicherheitsmangel als schwerwiegende Abweichung bewertet, so sind die Ursachen zu analysieren und nachvollziehbar zu dokumentieren (als Aufgabe an den KRITIS-Betreiber).
Die §8a-Prüfung wird dokumentiert. Dazu wird ein Prüfbericht als „eigenständiges Dokument“ angefertigt werden. Der Prüfbericht wird nur auf Aufforderung an das BSI versendet und auch nur durch den Betreiber selber.
Der KRITIS-Betreiber erhält allerdings die vom BSI geforderten Nachweisdokumente zur Einreichung beim BSI:
Das vierte Nachweisdokument zu § 8a (3) BSIG, „Blatt KI: Angaben zur geprüften Kritischen Infrastruktur und zum Ansprechpartner“, erstellt der KRITIS-Betreiber.
Darüber hinaus erhalten Sie von der datenschutz cert GmbH auf Wunsch auch eine Prüfbestätigung.
Das BSI-Gesetz normiert, dass ein KRITIS-Betreiber alle zwei Jahre den Nachweis beim BSI einreichen muss. Die Nachweisdokumente haben damit eine „Laufzeit“ von zwei Jahren. Eine jährliche Überwachung ist für §8a BSIG nicht vorgesehen.
Wenn die §8a-Prüfung zusammen mit einem ISO/IEC 27001-Zertifizierungsverfahren kombiniert wurde, gelten selbstverständlich primär die ISO/IEC 27001-typischen Zyklen (drei-jährige Laufzeit des Zertifikates mit Überwachungsaudits im ersten und zweiten Jahr). Die zwei-jährig stattfindenden §8a-Prüfungen können hiermit verbunden werden, wobei dann beim 2. Überwachungsaudit eine Überwachung gem. ISO/IEC 27001 zusammen mit der vollständigen §8a-Prüfung durchgeführt wird.
Die datenschutz cert GmbH empfiehlt:
Die datenschutz cert GmbH kann die Prüfung gem. §8a BSIG durchführen!
Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO 27006 akkreditierte Zertifizierungsstelle für ISO/IEC 27001 und ferner beim Bundesamt für Sicherheit in der Informationstechnik anerkannte Prüfstelle für IT-Sicherheit sowie anerkannter IT-Sicherheitsdienstleister. Wir erfüllen somit die Anforderungen einer "prüfenden Stelle". Ferner verfügen unsere Auditoren über die Prüfverfahrenskompetenz für § 8a (3) BSIG.
Sprechen Sie uns gerne an!
Informationssicherheitsexperte
Audits/Zertifizierungen
Telefon: +49 (0) 421 69 66 32-564
cstradomsky@ datenschutz-cert.de