KRITIS Business Continuity

Symbol for BCM

Business Continuity Management (BCM) und IT-Notfallmanagement mindern Ausfallrisiken bei Betreibern in KRITIS-Anlagen und bei Einrichtungen im Betrieb. Geregeltes BCM und IT-Notfall­management hilft Betreibern und Einrichtungen in der KRITIS-Vorbereitung und bei Vorfällen helfen – durch Analysen, Methoden und wirklich geübte Pläne.

Die KRITIS-Regulierung selbst macht wenig konkrete Vorgaben zu Resilienz, NIS2 und das KRITIS-Dachgesetz vertiefen die Vorgaben zu BCM und Krisen ab 2024 deutlich.

Der BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen (KRITIS) und die NIS2-Umsetzung (NIS2) definieren folgende Anforderungen für ein Managementsystem (BCMS):

aus Konkretisierung der Anforderungen an §8a Maßnahmen, BSI: 2020
Bereich KRITIS NIS2 Anforderung
Management-System 17 30.2.3a 31.1 38.1 Funktionierende Governance und Verantwortung für BCM
Krisenmanagement 30.2.3d Bewältigung von Krisen
Richtlinien 15-16 30.1.1 30.2.0 30.1.2 31.1 Normatives Regelwerk für BCM und IT-Notfallmanagement
Pläne 18 30.2.3a Rahmenwerk zur Kontinuitätsplanung
Übungen 19 30.2.3c Tests, Übungen und Überwachung der Kontinuität

Business Continuity Management

Der Case für BCM in KRITIS

Obwohl BCM keine zentrale Rolle in den Vorgaben der KRITIS-Regulierung spielt, sind BCM-Methodiken ein hilfreiches Werkzeug für Betreiber in der Umsetzung von KRITIS-Pflichten. Standards wie ISO 22301 und BSI 200-4 helfen beim Aufbau von BCM.

BCM

Webinar: Notfallmanagement in Kritischen Infrastrukturen

Welche Lücken BCM in Kritischen Infrastrukturen schliesst.
Webinar ∙ Registrierung über LinkedIn ∙ 29. April 2022

Anforderungen

BCM-Werkzeuge

  1. Analysen: Werkzeuge und Methoden zur Analyse von Risiken und Kritikalität von Geschäftsprozessen und Assets wie BIA und RIA.
  2. Pläne: Aufrechterhaltung des Betriebs durch Notfallpläne, Wiederanlauf­pläne und Wieder­herstellungs­pläne (WAP, WHP) und Übungen.
  3. Reaktion: Definierte Prozesse und eingeübte Abläufe zur Bewältigung von Vorfällen, Notfällen und Krisen mit besetzten Rollen und Stäben, IT-Tools.
  4. IT-Notfälle: Organisation für das Management von IT-Notfällen mit Reaktions­fähigkeiten und Präventions­maßnahmen für resiliente IT.

Einsatz in KRITIS

BCM-Methoden können in den Pflichten von KRITIS-Betreibern wie folgt unterstützen.

aus Pflichten von KRITIS-Betreibern
KRITIS Pflicht BCM-Unterstützung
Identifikation Feststellung der eigenen Betroffenheit im Betrieb als Kritische Infrastruktur a Analysen: BIA zur Analyse der kritischen Dienstleistung und Ermittlung von KRITIS-Schwellen­werten im Betrieb und Prozessen
Registrierung KRITIS-Anlagen beim BSI registrieren -
Meldungen IT-Störungen, Angriffe und Vorfälle ans BSI melden c Reaktion: Organisation zur betrieblichen Behandlung und Meldung von Ereignissen
d IT-Notfälle: Prozesse zur Bewältigung von IT-Notfällen nach der Detektion
Geltungsbereich KRITIS-Anlagen und Scope im Unternehmen a Analysen: BIA zur Bewertung und Auswahl kritischer Prozesse und IT-Assets für die kDL
Cyber Security Angemessene Maßnahmen nach Stand der Technik umsetzen a Analysen: Vollständige betriebliche Risiko­analyse eigentlich nur mit BCM-Risiken möglich
b Pläne: Notfall­pläne in der KRITIS-Anlage durch BCM erstellen und vervollständigen
Prüfungen Nachweis der Umsetzung von KRITIS-Maßnahmen a Analysen: BCM stellt aktuelle Analysen als Nachweise für Prüfungen sicher
b Pläne: Aktuelle BCM-Pläne als Nachweis

up

Management-System

Für die Behandlung von Ausfallrisiken in KRITIS-Anlagen sind klare Verantwortlichkeiten und Prozesse notwendig — unterstützt durch ein Management-System für Betriebskontinuität (BCMS), das im KRITIS-Geltungsbereich die Resilienz der Geschäftsprozesse und IT erhöht. Mit NIS2 wird Krisenmanagement explizit gefordert – was bei KRITIS bisher fehlte.

KRITIS NIS2 Anforderung
BSI-17 30.2.3a 31.1 38.1 Verantwortung der gesetzlichen Vertreter der Kritischen Infrastruktur
30.2.3d Krisenmanagement: Bewältigung von Krisen

Rollen

Das BCMS legt dazu Rollen und Aufgaben für Kontinuität im Geltungsbereich fest:

Im Krisenmanagement müssen zusätzlich folgende Rollen besetzt werden:

Verantwortlichkeiten

Die Verantwortungen in den KRITIS-Anlagen für Betriebskontinuität müssen verbindlich festgelegt werden — eindeutig (A und R) und getrennt in Vorgaben, Umsetzung und Kontrolle (Funktionstrennung). Mögliche Orte für die Festlegungen durch das BCMS sind:

  1. Rollenbeschreibungen
  2. RACI-Matrizen
  3. Prozessbeschreibungen
  4. Funktionsbeschreibungen
  5. Ernennungsurkunden

Prozesse

Das BCMS steuert die betriebliche Kontinuität in den KRITIS-Anlagen durch Prozesse, u.a.:

Nachweise

Artefakte als Nachweis für ein laufendes und funktionierendes Management-System sind u.a.:

  1. Protokolle
  2. Entscheidungen
  3. Business Impact Analysen
  4. Maßnahmen
  5. Pläne

up

Richtlinien

Die Ziele des BCM zur betrieblichen Kontinuität bei etwaigen Störungen in KRITIS-Anlagen werden durch das BCMS in einer zentralen Leitlinie (Policy) verankert. Die Leitlinie legt für das BCMS gültige Analysemethoden, Parameter, Szenarien und Auswirkungen fest.

KRITIS NIS2 Anforderung
BSI-15 30.1.1 30.2.0 Richtlinien zur Folgeabschätzung
BSI-16 30.1.2 31.1 Richtlinien zur Maßnahmenableitung

Rahmenwerk

Basierend auf der Leitlinie legt das BCMS in weiteren Richtlinien die Methoden, Hilfsmittel und Tools fest, die bei Analysen (BIA/RIA) und Maßnahmen in KRITIS-Anlagen zu nutzen sind.

Nachweise

Nachweise für effektive Vorgaben und Richtlinien im BCMS sind u.a.:

  1. Aktuelle Richtlinien
  2. Freigaben
  3. Revisionhistorien
  4. Änderungen
  5. Entscheidungen

up

Pläne und Maßnahmen

Die Ergebnisse eines BCMS sind in erster Linie Analysen und Transparenz über Ausfallrisiken in den KRITIS-Anlagen. Für die Behandlung dieser Risiken hat das BCMS mehrere Optionen:

KRITIS NIS2 Anforderung
BSI-18 30.2.3a Planung der Betriebskontinuität

Nachweise

Artefakte als Nachweis für effektive Maßnahmen sind u.a.:

  1. BCPs
  2. Notfallpläne
  3. Umgesetzte Maßnahmen
  4. Verminderte Risiken

up

Übungen und interne Audits

Zur Verbesserung des BCMS und Weiterentwicklung der betrieblichen Kontinuität müssen regelmäßig Tests und Übungen der definierten Pläne und Maßnahmen durchgeführt werden. Dies umfasst Krisenübungen, Notfalltests, Durchspielen einzelner Pläne oder Übungen zu Kommunikation und Meldewegen. Die Übungen sollten geregelt ausgewertet und vom Betrieb und BCMS in der kontinuierlichen Verbesserung berücksichtigt werden.

KRITIS NIS2 Anforderung
BSI-19 30.2.3c Verifizierung, Aktualisierung und Test der Betriebskontinuität

Nachweise

Nachweise für effektive Übungen und Verbesserung des BCMS sind u.a.:

  1. Übungsberichte
  2. Auditberichte
  3. Lessons Learned
  4. Umgesetzte Maßnahmen

up

IT-Notfallmanagement

Für IT-Risiken in der betrieblichen Kontinuität ist IT-Notfallmanagement eine der möglichen Behandlungsoptionen. Die Anforderungen für IT-Notfallmanagement sind in den Kontrollen BSI-15 bis 19 im BCMS enthalten. Das IT-Notfallmanagement besteht aus zwei Prozessen:

KRITIS NIS2 Anforderung
30.2.3c Wiederherstellung nach Notfällen (DR und IT-SCM)

Nachweise

Nachweise für effektives IT-Notfallmanagement im BCMS sind u.a.:

  1. Besetzte IT-Rollen
  2. SLAs und Servicelevel
  3. Priorisierungslisten
  4. Wiederanlaufpläne

up

Integration im Unternehmen

Das BCMS muss für das Management von Ausfallrisiken im Betrieb mit weiteren Management-Systemen vernetzt sein.

Weitere Informationen

Literatur

  1. Business Continuity Planning Suite, Ready.gov - DHS National Protection and Programs Directorate, März 2021
  2. IT Disaster Recovery Plan, Ready.gov, Februar 2021
  3. IT-Grundschutz-Baustein (200-1): DER.4: Notfallmanagement, Bundesamt für Sicherheit in der Informationstechnik, Februar 2021

Standards

  1. BSI-Standard 200-4, Business Continuity Management (Community Draft), Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. ISO 22301:2019, Security and resilience - Business continuity management systems - Requirements, International Organization for Standardization
  3. ISO 27031:2011, Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity, International Organization for Standardization

Quellen

  1. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist