KRITIS Information Security

KRITIS-Betreiber müssen in ihren KRITIS-Anlagen und Einrichtungen (NIS2) im Unternehmen ein ISMS, ein Management-System für Informationssicherheit etablieren, um Risiken der erbrachten Dienstleistungen zu mindern. Das ISMS verankert Verantwortung und Prozesse für das Management von Cybersecurity.

Betreiber können ISMS u.a. nach ISO 27001, BSI IT-Grundschutz oder Branchen-Standards umsetzen, KRITIS und NIS2 machen keine normative Vorgaben zum genauen Standard oder Aufbau des ISMS. Bestehende Zertifizierungen nach ISO 27001 oder C5 können in KRITIS-Prüfungen mitgenutzt werden, sofern der Geltungsbereich die KRITIS-Anlagen umfasst.

Der BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen (KRITIS) und die NIS2-Umsetzung (NIS2) definieren folgende Anforderungen für ein Managementsystem (ISMS):

Bereich	KRITIS	NIS2	Anforderung
Management-System	1, 3-4	30.1.1 30.2.1b 38.1	Funktionierende Governance für Informationssicherheit
Richtlinien	2, 65-67	30.2.1b	Normatives Regelwerk für Informationssicherheit
Interne Audits	83-89	30.2.5d 30.2.6	Selbstüberprüfung des ISMS zur Überwachung

Mapping von Cyber Security Standards und KRITIS

Abgleich von BSI KRITIS, C5, ISO 27001:2022, NIS2, OH SzA.
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2024

Information Security Management

Management-System (ISMS)

Für die wirksame Behandlung von Cyberrisiken in KRITIS-Anlagen und in Einrichtungen (NIS2) ist ein Management-System für Informationssicherheit (ISMS) notwendig, das den Geltungsbereich abdeckt und dort notwendige Maßnahmen der Informations- und IT-Sicherheit steuert.

KRITIS	NIS2	Anforderung
BSI-1	30.2.1b	Managementsystem für Informationssicherheit
BSI-3	30.1.1	Zuständigkeiten und Verantwortungen
BSI-4		Funktionstrennung
	38.1	Verantwortung Geschäftsleitung

Rollen

Im ISMS haben verschiedene Rollen definierte Aufgaben im Geltungsbereich, u.a.:

CISO oder ISO: Leitung ISMS und Verantwortung für Vorgaben der Informationssicherheit
IT-Leiter: Verantwortung für Umsetzung der Vorgaben und von Maßnahmen im IT-Betrieb
Asset-Verantwortliche: Schutz der eigenen Assets durch Umsetzung von Maßnahmen
Leiter operative Sicherheit: Reaktion und Behandlung von Sicherheitsvorfällen

Verantwortlichkeiten

Die Verantwortungen der einzelnen Rollen für Informationssicherheit müssen verbindlich festgelegt werden — eindeutig (A und R) und getrennt in Vorgaben, Umsetzung und Kontrolle (Funktionstrennung). Mögliche Orte für die Festlegungen durch das ISMS sind:

Rollenbeschreibungen
RACI-Matrizen
Prozessbeschreibungen
Funktionsbeschreibungen
Ernennungsurkunden

Prozesse

Mit Prozessen steuert das ISMS die Informationssicherheit in der IT der KRITIS-Anlagen, u.a.:

ISMS-Steuerung: Betrieb des Management-Systems — Ausübung von Governance
Risikoanalyse: Analyse der Informationssicherheit von Assets und der IT, Durchführung der Schutzbedarfsfeststellung (SBF), Feststellung von Risiken
Risikobehandlung: Entscheidung und Auswahl von Optionen in der Risikobehandlung (RBH) — Definition von Maßnahmen für Informations- und IT-Sicherheit der Assets und IT
Reporting: Meldewesen innerhalb des Betreibers zur KRITIS-Anlage zum Stand des ISMS
ISMS-Überprüfung: Eigener Prozess zur Überprüfung im ISMS, siehe interne Audits
ISMS-Verbesserung: Kontinuierliche Verbesserung im ISMS — PDCA-Zyklus

Standards

Die KRITIS-Regulierung schreibt keine verbindlichen Cyber Security Standards für Kritische Infrastrukturen vor, Betreiber können die Umsetzung frei entscheiden. Einige bekannte Standards zum Aufbau eines KRITIS-ISMS umfassen:

Standard	Inhalt	Zertifikat	BSIG-Prüfung
Management von Informationssicherheit
BSI Konkretisierung	Anforderungswerk für KRITIS-Vorgaben		◉
NIST CSF	Methodik und Anforderungsgruppen für Security
ISO 27001	Management-System für Informationssicherheit	◉	⬚
C5	Anforderungswerk für Cloud-Security	◉	⬚
BSI IT-Grundschutz	Management-System für Informationssicherheit	◉	⬚

Von der Wahlfreiheit gibt es Ausnahmen in bestimmten Branchen, die besonders reguliert sind und/oder einen Branchenstandard umsetzen müssen.

Nachweise

Artefakte als Nachweis für ein laufendes und funktionierendes Management-System sind u.a.:

Protokolle
Entscheidungen
Risikoeinschätzungen
Getroffene Maßnahmen

Richtlinien und Vorgaben

Die Sicherheitsziele des ISMS in den KRITIS-Anlagen müssen in einer zentralen Leitlinie (Policy) zur Informationssicherheit verankert werden. Diese Leitlinie sollte die Ziele des Unternehmens, den KRITIS- und regulatorischen Rahmen und die Bedrohungslage abbilden. Basierend auf der Leitlinie dokumentiert das ISMS in seinen weiteren Richtlinien die Anforderungen an Informationssicherheit im Geltungsbereich der KRITIS-Anlage.

KRITIS	NIS2	Anforderung
BSI-2	30.2.1b	Strategische Vorgaben und Verantwortung
BSI-65		Festlegung notwendiger Kompetenzen (Betrieb und IT-Sicherheit)
BSI-66		Überprüfung und Freigabe von Richtlinien und Anweisungen
BSI-67		Abweichungen von bestehenden Richtlinien und Anweisungen

Rahmenwerk

Die normativen Vorgaben zur Informationssicherheit legt das ISMS in seinem Rahmenwerk fest — in strategischen Richtlinien und operativen Anweisungen (Policies und Procedures). Das Rahmenwerk muss im KRITIS-Geltungsbereich gültig sein und die relevanten Themen abdecken — und jährlich überprüft und durch die Leitung freigegeben werden.

Abweichungen

Ausnahmen von Vorgaben der Informationssicherheit und abweichende Umsetzungen in KRITIS-Anlagen müssen von autorisierten Gremien freigegeben und dokumentiert werden. Die Risiken dieser Ausnahmen vom Vorgabenwerk und Gründe für die Abweichungen müssen dokumentiert und regelmäßig überprüft werden.

Nachweise

Nachweise für effektive Vorgaben und Richtlinien im ISMS sind u.a.:

Aktuelle Richtlinien
Freigaben
Revisionhistorien
Änderungen
Entscheidungen

Interne Audits

Das ISMS muss regelmäßig Audits in den KRITIS-Anlagen durchführen oder veranlassen, um die Compliance von IT-Systemen und den Umgang mit Schwachstellen zu überprüfen. Dies dient einerseits der Compliance mit ISMS-Vorgaben, aber auch der eigenen Verbesserung und Weiterentwicklung des ISMS (KVP).

KRITIS	NIS2	Anforderung
BSI-83	30.2.5d	Anlassbezogene Prüfungen – Konzept
BSI-84	30.2.5d	Prüfung offener Schwachstellen
BSI-85	30.2.6	Compliance und Informieren der Unternehmensleitung
BSI-86	30.2.6	Interne Überprüfungen der Compliance von IT-Prozessen
BSI-87	30.2.6	Interne IT- Prüfungen
BSI-88	30.2.6	Planung externer Audits
BSI-89	30.2.6	Durchführung externer Audits

Arten von Audits

Informationssicherheit in KRITIS-Anlagen kann durch das ISMS mit folgenden Audits überprüft werden — und sollte zu effektiven Verbesserungen führen.

Compliance-Prüfungen: Überprüfung der Richtlinien-Konformität von IT-Prozessen
Schwachstellen-Scans: Technische Scans und Tests der IT-Systeme auf Schwachstellen
IT-Prüfungen: Überprüfung der Richtlinien-Konformität der IT-Systeme von KRITIS-Anlagen
Externe Audits: Unabhängige Überprüfung von Prozessen der Systemen durch Dritte

Nachweise

Nachweise für funktionierende interne Audits zur Verbesserung des ISMS sind u.a.:

Prüfberichte
Prüfpläne
Festgelegte Maßnahmen
Durchgeführte Maßnahmen

Integration im Unternehmen

Das ISMS muss für eine nachhaltige Verbesserung der Informationssicherheit im Betrieb mit weiteren Management-Systemen beim KRITIS-Betreiber vernetzt sein.

Personalsicherheit: Vorgaben für HR-Security und Kontrollen in Personalprozessen.
Lieferanten und Sicherheit: Vorgaben für Sicherheit bei Lieferanten, Dienstleistern und im Einkauf
Risiko-Management: Meldung von Risiken und Maßnahmen an das Unternehmens-Risiko-Management, Abgleich von Methoden und Definitionen
Asset-Management: Abgleich von Asset-Informationen der Assets in Scope der Anlage
BCM: Austausch von Risiken und Maßnahmen, gemeinsame Risikobehandlung und Pläne
IT-Betrieb und IT-Sicherheit: Definition und Begleitung der Maßnahmen-Umsetzung im Betrieb; Austausch zu operativen Risiken und Bedrohungen
IT-Notfallmanagement: Behandlungsoption für Maßnahmen zur Ausfallsicherheit; gemeinsame Sicht auf IT-Assets und deren Risiken
KRITIS-Organisation: Abgleich Geltungsbereich ISMS und Geltungsbereich KRITIS; Definition der IT-Systeme und Prozesse im Scope; Zusammenarbeit im Meldewesen

Weitere Informationen

Literatur

KRITIS-FAQ: Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Implementierungsleitfaden ISO/IEC 27001:2013, Ein Praxisleitfaden für die Implementierung eines ISMS, ISACA Germany Chapter, Mai 2016
IT-Grundschutz-Baustein (200-1): ISMS.1: Sicherheitsmanagement, Bundesamt für Sicherheit in der Informationstechnik, Februar 2023
Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018
IT-Grundschutz-Baustein (200-1): DER.3.1: Audits und Revisionen, Bundesamt für Sicherheit in der Informationstechnik, Februar 2023

Standards

ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements, International Organization for Standardization
DIN EN ISO/IEC 27001, Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen, Deutsche Fassung EN ISO/IEC 27001:2017
BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS), Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Oktober 2017
IT-Grundschutz-Bausteine, Edition 2021, Bundesamt für Sicherheit in der Informationstechnik

Quellen

Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist