§8a BSIG-Prüfung für KRITIS-Betreiber

Prüfungsnachweis für Kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind auf eine funktionierende IT angewiesen. Zum Schutz Kritischer Infrastrukturen wurde deshalb von staatlicher Seite das BSI-Gesetz (BSIG) geändert. Danach sind Betreiber Kritischer Infrastrukturen verpflichtet, „angemessene organisatorische und technische Vorkehrungen […] zu treffen“ (§ 8a Abs. BSIG) und diese „mindestens alle zwei Jahre […] nachzuweisen“ (§ 8a Abs. 3 BSIG).

Prüfgrundlage kann ein sogenannter Branchenspezifischer Sicherheitsstandard (B3S) sein – muss aber nicht. Auch ISO/IEC 27001 kann für eine §8a-Prüfung genutzt werden. Darüber hinaus gibt es Bereiche, für die eigene gesetzliche Vorgaben gelten: So müssen z.B. Netzbetreiber (Strom/Gas) die Vorgaben des von der Bundesnetzagentur veröffentlichten IT-Sicherheitskatalogs erfüllen.

Zur Durchführung der Prüfungen sind entsprechende „prüfende Stellen“ und „Prüfer“ eines Prüfteams vorgesehen. Die datenschutz cert GmbH erfüllt als DAkkS-akkreditierte Zertifizierungsstelle, BSI-anerkannte Prüfstelle sowie IT-Sicherheitsdienstleister des BSI die Anforderungen einer prüfenden Stelle und verfügt über Prüfer, die die entsprechende Prüfverfahrenskompetenz für § 8a (3) BSIG mitbringen. Damit können wir Ihre Kritische Dienstleistung gem. §8a prüfen.

Im Nachfolgenden werden alle wichtigen Fragen geklärt.

Was fordert der Gesetzgeber exakt?

Die gesetzliche Vorgabe ergibt sich aus dem BSI-Gesetz. Zunächst einmal sind dies die Anforderungen an den Betreiber gem. §8a Abs. 1 BSIG: „Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“

Als Maßstab, was ein Betreiber umzusetzen hat, kann(!) ein Branchenspezifischer Sicherheitsstandard genutzt werden. §8a Abs. 2 BSIG normiert, wer einen solchen Branchenspezifischen Sicherheitsstandard – einen sogenannten „B3S“ – erarbeiten und abnehmen darf: „Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.“

Die Umsetzung der Anforderungen aus §8a Abs. 1 BSIG reicht allerdings alleine nicht aus, die Umsetzung muss auch nachgewiesen werden; dies normiert §8a Abs. 3 BSIG: „Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.“
trukturen (KRITIS) sind auf eine funktionierende IT angewiesen. Zum Schutz Kritischer Infrastrukturen wurde deshalb von staatlicher Seite das BSI-Gesetz (BSIG) geändert. Danach sind Betreiber Kritischer Infrastrukturen verpflichtet, „angemessene organisatorische und technische Vorkehrungen […] zu treffen“ (§ 8a Abs. BSIG) und diese „mindestens alle zwei Jahre […] nachzuweisen“ (§ 8a Abs. 3 BSIG).
Prüfgrundlage kann ein sogenannter Branchenspezifischer Sicherheitsstandard (B3S) sein – muss aber nicht. Auch ISO/IEC 27001 kann für eine §8a-Prüfung genutzt werden. Darüber hinaus gibt es Bereiche, für eigene gesetzliche Vorgaben gelten: So müssen z.B. Netzbetreiber (Strom/Gas) die Vorgaben des von der Bundesnetzagentur veröffentlichten IT-Sicherheitskatalogs erfüllen.
Zur Durchführung der Prüfungen sind entsprechende „prüfende Stellen“ und „Prüfer“ eines Prüfteams vorgesehen. Die datenschutz cert GmbH erfüllt als DAkkS-akkreditierte Zertifizierungsstelle, BSI-anerkannte Prüfstelle sowie IT-Sicherheitsdienstleister des BSI die Anforderungen einer prüfenden Stelle und verfügt über Prüfer, die die entsprechende Prüfverfahrenskompetenz für § 8a (3) BSIG mitbringen. Damit können wir Ihre Kritische Dienstleistung gem. §8a prüfen.
Im Nachfolgenden werden alle wichtigen Fragen geklärt.

Wer ist KRITIS-Betreiber?

Unter die Rubrik „Betreiber Kritischer Infrastrukturen (KRITIS)“ fallen die folgenden Sektoren und Branchen:

  • Energie (Strom, Gas, Öl und Wärme): Stadtwerke, Kraftwerke, Stromnetze, Gasförderung, Gasnetze
  • Ernährung: Nahrungsmittelherstellung, Lager, Verteilung
  • Finanz- und Versicherungswesen: Banken, Versicherungen, Finanzdienstleister, Börsen
  • Gesundheit: Krankenhäuser, Krankentransport, Arztpraxen, Apotheken
  • Informationstechnik und Telekommunikation (IT, Telekommunikation und Internet): Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber
  • Medien und Kultur: Zeitungen, Rundfunk, Fernsehen, Medien
  • Staat und Verwaltung (Bundes-, Landes- und Kommunalverwaltung): Ministerien, Sicherheitsbehörden
  • Transport und Verkehr: Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstraßen, Bahnbetreiber, Bahnnetze, öffentlicher Verkehr
  • Wasser: Wasserversorgung, Wasserwerke, Wassernetze

Zu beachten sind jedoch pro Branche individuell festgelegte Schwellwerte, diese sind in der KRITIS-VO aufgeführt: „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)“ vom 22.04.2016 samt „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ vom 21.06.2017.

Wer ist beteiligt?

Rund um §8a-Verfahren sind mehrere Akteure involviert:

  • der Betreiber einer Kritischen Infrastruktur, der also die Schwellenwerte der KRITIS-VO überschreitet
  • das Bundesamt für Sicherheit in der Informationstechnik (BSI), welches die Rahmenbedingungen definiert und Prüfnachweise abnimmt sowie ggf. weitere Dokumente vom Betreiber anfordert
  • die prüfende Stelle, die vom Betreiber mit der Prüfung beauftragt wird
  • die Prüfer des Prüfteams, die von der prüfenden Stelle mit der konkreten Prüfung bei einem KRITIS-Betreiber beauftragt werden, die Prüfung durchzuführen.

Was muss ein KRITIS-Betreiber beachten?

Was ein Betreiber einer Kritischen Infrastruktur erfüllen muss, ergibt sich direkt aus §8a Abs. 1 BSIG: Der KRITIS-Betreiber muss

  • "angemessene organisatorische und technische Vorkehrungen" treffen,
  • "zur Vermeidung von Störungen der
    • Verfügbarkeit,
    • Integrität,
    • Authentizität und
    • Vertraulichkeit [seiner] informationstechnischen Systeme, Komponenten oder Prozesse",
  • "die für die Funktionsfähigkeit der von [ihm] betriebenen Kritischen Infrastrukturen maßgeblich sind"
  • nach "Stand der Technik".

Um diesen gesetzlichen Anforderungen nachzukommen, ist ein strukturierter Ansatz notwendig. Ziel ist es, zunächst den Geltungsbereich (Scope) der Kritischen Infrastruktur sauber darzustellen und von anderen Bereichen abzutrennen, sowie alle Schnittstellen zu anderen Bereichen zu beschreiben. Im nächsten Schritt ist der Schutzbedarf unter Berücksichtigung der im BSIG genannten Sicherheitszielen zu definieren, um danach eine Risikoanalyse durchzuführen und hierbei auch sektor-spezifische Bedrohungen, Gefährdungen und Schwachstellen zu identifizieren. Anschließend geht es um die Behandlung dieser Risiken, wobei das BSI die Möglichkeiten Risikoakzeptanz und -verlagerung einschränkt. Somit sind die typischen Maßnahmen der Informationssicherheit anzuwenden; das BSI nennt etwa:

  • Informationssicherheits-Managementsystem (ISMS)
  • Asset Management
  • Risikoanalysemethoden
  • Continuity Management für die kritische Dienstleistung
  • Notfallmanagement und Übungen
  • Branchenspezifische Technik
  • Technische Informationssicherheit
  • Personelle und organisatorische Sicherheit
  • Bauliche/physische Sicherheit
  • Vorfallserkennung und -bearbeitung
  • Überprüfung im laufenden Betrieb
  • Externe Informationsversorgung und Unterstützung
  • Lieferanten, Dienstleister und Dritte.

Reicht ein ISMS nach ISO/IEC 27001 aus?

Auch wenn die geforderte Vorgehensweise stark an ein ISMS, konform zu ISO/IEC 27001, erinnert, die Antwort ist: Nicht zwingend. Der Geltungsbereich der ISO/IEC 27001-Zertifizierung muss alle relevanten Werte und Prozesse der kritischen Infrastruktur umfassen. Darüber hinaus müssen die Besonderheiten des §8a BSIG berücksichtigt werden. Hierzu zählen die Besonderheiten des Risikomanagements ebenso wie wie mögliche branchenspezifische Gefährdungen und Anforderungen umgesetzt wurden.

Gleichwohl: Wer bereits ISO/IEC 27001 umgesetzt hat, den dürften die Anforderungen aus §8a nicht weiter überraschen, weil diese zusätzlichen Anforderungen im Rahmen der kontinuierlichen Verbesserung leicht nachgezogen werden können.

Welche Methodik sollte genutzt werden?

Es gibt mehrere Möglichkeiten:

  • anerkannter Branchenspezifischer Sicherheitsstandard (B3S), so wie in §8a Abs. 3 BSIG beschrieben
  • ISO/IEC 27001 unter Berücksichtigung der obigen Rahmenbedingungen
  • individueller Ansatz

Vorteil eines vom BSI abgenommen B3S ist natürlich, dass dieser vollständig für die jeweilige Branche den Maßstab definiert.

Wie bereits ausgeführt: Es gibt keine Verpflichtung, einen existierenden B3S für seinen Sektor anzuwenden.

Wer abweichend ISO/IEC 27001 nutzt, muss ggf. nachweisen, dass die branchenspezifischen Eigenheiten angemessen berücksichtigt sind. Und es sind die Vorgaben der B3S-Orientierungshilfe „Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG“ zu beachten.

Wer sogar einen gänzlich individuellen Ansatz wählt, muss ggf. nachweisen, dass nicht nur die Besonderheiten der Branche und der Orientierungshilfe beachtet wurden, sondern auch ein Ansatz nach Stand der Technik.

Damit ist ein anerkannter Standard auf jeden Fall zu empfehlen.

Welche Prüfgrundlage ist möglich?

Die Prüfgrundlage ist formal nicht zwingend identisch zu der Methode, die der KRITIS-Betreiber bei der Implementierung seines ISMS genutzt hat – obwohl dies natürlich sinnvoll wäre.
Deshalb muss die Prüfgrundlage festgelegt werden. Das BSI sieht dazu die folgenden Varianten vor:

  • Prüfung auf Grundlage eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S) – dies kann auch ein B3S eines anderen Sektors sein
  • Prüfung ohne Verwendung eines branchenspezifischen Sicherheitsstandards (B3S)
  • Berücksichtigung vorhandener Prüfungen oder anderer Prüfgrundlagen – zu welchem Umfang diese einbezogen werden können, entscheidet die prüfende Stelle.

Sofern kein anerkannter B3S genutzt wird, sind die Vorgaben der B3S-Orientierungshilfe „Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG“ zu nutzen.

Auch hier gilt: Ein für die Branche existierender B3S muss nicht verpflichtend genutzt werden.

Was empfiehlt die datenschutz cert? Ganz klar: die Kombination aus §8a-Prüfung und ISO/IEC 27001-Zertifizierung. Denn ein ISO/IEC 27001-konformes ISMS gibt Ihnen die „Werkzeuge“ samt Methodik in die Hand, um die sektorspezifischen Besonderheiten angemessen zu berücksichtigen. Und er ist anerkanntermaßen Stand der Technik. Sofern Sie als KRITIS-Betreiber allerdings ein ISO/IEC 27001-Zertifikat nicht benötigt, ist zumindest eine Auditierung gem. ISO/IEC 27001 sinnvoll.

Welche prüfende Stelle kann genutzt werden?

Wenn der KRITIS-Betreiber die Anforderungen gem. §8a Abs. 1 BSIG umgesetzt hat und den Prüfungsnachweis gem. §8a Abs. 3 BSIG anstrebt, muss er eine prüfende Stelle auswählen und mit dieser die Prüfgrundlage abstimmen.

Auch hier reduziert sich der Aufwand erheblich, wenn eine standardisierte Methode genutzt wird – wie etwa ein anerkannter B3S oder ISO/IEC 27001. Grundsätzlich sind akkreditierte ISO/IEC 27001-Zertifizierungsstellen vom BSI als geeignete prüfende Stelle vorgesehen.

Die datenschutz cert GmbH erfüllt diese Anforderungen und ist daher eine „prüfende Stelle“.

Welche Referenzdokumente werden benötigt?

Wenn der KRITIS-Betreiber eine prüfende Stelle ausgewählt hat, muss er lt. BSI dem Prüfteam folgende Unterlagen zur Verfügung stellen:

  • Beschreibung des Informationssicherheitsmanagementsystems (ISMS)
  • Konzept und Dokumentation des Risikomanagements inkl. Risikoanalyse
  • Notfallkonzept und Beschreibung des Continuity Managements
  • Dokumente des Asset Managements
  • Dokumentation der Prozesse zur baulichen und physischen Sicherheit
  • Dokumentation der personellen und organisatorischen Sicherheit
  • Konzepte und Dokumentation zur Vorfallserkennung und -bearbeitung
  • Konzepte und Dokumentation von Überprüfungen
  • Richtlinien zur externen Informationsversorgung
  • Richtlinien zum Umgang mit Lieferanten und Dienstleistern
  • Sicherheitskonzept.

Wie verläuft eine §8a-Prüfung?

Die Prüfer und Branchenexperten des Prüfteams, die von der prüfenden Stelle beauftragt wurden, führen die Prüfung durch.
Als Prüfgrundlage wird die mit dem KRITIS-Betreiber abgestimmte Prüfgrundlage gewählt.
Zentrales Element der Prüfung sind folgende Aspekte:

  • Scope: Zunächst ist der Geltungsbereich unter folgenden Aspekten zu prüfen und zu bewerten:
    • Vollständigkeit
    • Eignung, Erforderlichkeit, Wirksamkeit und Angemessenheit
    • Funktionsfähigkeit der kritischen Dienstleistung
  • Strukturierte Ansatz: Der strukturierte Ansatz aus Schutzbedarfsfeststellung, Risikomaßnahme und Ableitung von Maßnahmen ist zu prüfen und zu bewerten.
  • Umsetzung der Maßnahmen: Anschließend ist zu prüfen und zu bewerten, dass die Anforderungen angemessen umgesetzt sind.

Im Ergebnis gibt vier mögliche Feststellungen:

  • keine Abweichung
  • Empfehlung
  • geringfügige Abweichung bzw. Sicherheitsmangel
  • schwerwiegende oder erhebliche Abweichung bzw. Sicherheitsmangel.

Alle Abweichungen und Sicherheitsmängel werden im Prüfbericht aufgenommen; dazu: Geplante Nachverfolgung, zu ergreifende Maßnahmen sowie die Frist zur Beseitigung. Ferner normiert das BSI, dass die Umsetzung nicht nur festgelegt, sondern auch überwacht werden muss.

Wird ein Sicherheitsmangel als schwerwiegende Abweichung bewertet, so sind die Ursachen zu analysieren und nachvollziehbar zu dokumentieren (als Aufgabe an den KRITIS-Betreiber).

Welche Prüfdokumentation liegt final vor?

Die §8a-Prüfung wird dokumentiert. Dazu wird ein Prüfbericht als „eigenständiges Dokument“ angefertigt werden. Der Prüfbericht wird nur auf Aufforderung an das BSI versendet und auch nur durch den Betreiber selber.

Der KRITIS-Betreiber erhält allerdings die vom BSI geforderten Nachweisdokumente zur Einreichung beim BSI:

  • Blatt PS: Angaben zur Eignung der prüfenden Stelle und zum Prüfteam
  • Blatt PD: Angaben zur Prüfdurchführung
  • Blatt PE: Angaben zum Prüfergebnis

Das vierte Nachweisdokument zu § 8a (3) BSIG, „Blatt KI: Angaben zur geprüften Kritischen Infrastruktur und zum Ansprechpartner“, erstellt der KRITIS-Betreiber.

Darüber hinaus erhalten Sie von der datenschutz cert GmbH auf Wunsch auch eine Prüfbestätigung.

Wann muss die Prüfung wiederholt werden?

Das BSI-Gesetz normiert, dass ein KRITIS-Betreiber alle zwei Jahre den Nachweis beim BSI einreichen muss. Die Nachweisdokumente haben damit eine „Laufzeit“ von zwei Jahren. Eine jährliche Überwachung ist für §8a BSIG nicht vorgesehen.

Wenn die §8a-Prüfung zusammen mit einem ISO/IEC 27001-Zertifizierungsverfahren kombiniert wurde, gelten selbstverständlich primär die ISO/IEC 27001-typischen Zyklen (drei-jährige Laufzeit des Zertifikates mit Überwachungsaudits im ersten und zweiten Jahr). Die zwei-jährig stattfindenden §8a-Prüfungen können hiermit verbunden werden, wobei dann beim 2. Überwachungsaudit eine Überwachung gem. ISO/IEC 27001 zusammen mit der vollständigen §8a-Prüfung durchgeführt wird.

Fazit

Die datenschutz cert GmbH empfiehlt:

  • implementieren Sie ein Informationssicherheits-Managementsystem (ISMS), um die Anforderungen aus §8a BSIG auf strukturierte Art und Weise gem. dem Stand der Technik umzusetzen
  • nutzen Sie anerkannte Standards für Ihr ISMS – wenn kein B3S vorliegt, nutzen sie ISO/IEC 27001
  • die datenschutz cert ist als DAkkS-akkreditierte Zertifizierungsstelle und BSI-anerkannte Prüfstelle sowie IT-Sicherheitsdienstleister des BSI auch prüfende Stelle gem. BSIG
  • wir nutzen als Prüfgrundlage gerne den B3S, den Sie implementiert haben, oder ISO/IEC 27001
  • sofern wir die §8a-Prüfung mit ISO/IEC 27001 kombinieren sollen, erhalten Sie optional auch ein weltweit gültiges ISO/IEC 27001-Zertifikat.

Wie können wir Sie unterstützen?

Die datenschutz cert GmbH kann die Prüfung gem. §8a BSIG durchführen!

Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO 27006 akkreditierte Zertifizierungsstelle für ISO/IEC 27001 und ferner beim Bundesamt für Sicherheit in der Informationstechnik anerkannte Prüfstelle für IT-Sicherheit sowie anerkannter IT-Sicherheitsdienstleister. Wir erfüllen somit die Anforderungen einer "prüfenden Stelle". Ferner verfügen unsere Auditoren über die Prüfverfahrenskompetenz für § 8a (3) BSIG.

Sprechen Sie uns gerne an!

 

Ansprechpartner

Dipl.-Math.

Dr. Sönke Maseberg

Geschäftsführer

Telefon: +49 (0) 421 69 66 32-552

smaseberg@remove-this.datenschutz-cert.de