KRITIS-Organisation

Officer picture

Eine zentrale KRITIS-Organisation kann bei KRITIS-Betreibern die vielen KRITIS-Pflichten koordinieren und als zentrale Stabsstelle operativ das Meldewesen ans BSI und die Registrierung beim BSI organisieren.

Mit dem ISMS kann die KRITIS-Organisation den KRITIS-Geltungsbereich der Kritischen Infrastrukturen definieren und die Maßnahmen­umsetzung begleiten und überwachen. Im BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen wird das Meldewesen erwähnt, die anderen Anforderungen ergeben sich aus dem BSI-Gesetz:

Bereich BSI-ID Anforderung
Meldewesen 97, 100
§8b (3-4) BSIG
Kontaktstelle und Austausch mit Behörden
Meldepflichten
Stabsstelle §8a (1) BSIG Steuerung der Cybersecurity im KRITIS-Geltungsbereich
Prüfungen §8a (3) BSIG Koordinierung der KRITIS-Nachweisprüfungen im KRITIS-Geltungsbereich

up

Meldewesen

Kontakt mit Behörden

Der Informationsaustausch mit relevanten Behörden und die Meldepflichten für Kritische Infrastrukturen sollten bei KRITIS-Betreibern zentral gesteuert werden — die KRITIS-Organisation kann dies als einheitliche Meldestelle im Unternehmen koordinieren.

BSI-ID Anforderung
BSI-97 Kontakt zu relevanten Behörden und Interessenverbänden
BSI-100 Einrichtung einer Kontaktstelle
§8b (3-4) BSIG KRITIS-Meldepflichten

Kontaktstelle

Die zentrale KRITIS-Organisation kann die jederzeit erreichbare Kontaktstelle für Kritische Infrastrukturen beim Betreiber nach §8b Abs. 3 BSIG realisieren und beim BSI registrieren. Sie nimmt dann Meldungen und Informationen von beiden Seiten an (Betrieb und BSI).

Meldepflichten

KRITIS-Betreiber müssen Störungen an Prozessen, Komponenten und IT der registrierten Anlagen an das BSI melden. Die zentrale KRITIS-Organisation kann diese Meldungen als zentrale Meldestelle annehmen, aufbereiten und an das BSI verschicken. Dabei ist sie auf Informationen der Cyber Security Angriffserkennung beim Betreiber angewiesen.

Informationsaustausch

Für Informationen zu aktuellen Bedrohungslage müssen Betreiber Kontakte zu relevanten Aufsichtsbehörden und staatlichen Stellen etablieren. Dazu sollte die zentrale KRITIS-Organisation Prozesse definieren, wie Informationen erhalten, ausgetauscht und innerhalb des Betreibers weitergeleitet werden — z.B. zu Schwachstellen und Angriffen.

Nachweise

Artefakte als Nachweis für ein funktionierendes Meldewesen sind u.a.:

  1. Registrierungsformular
  2. Gemeldete Vorfälle
  3. Teilnahme an Terminen
  4. Quittierungen

up

KRITIS-Stabsstelle

Koordinierung von KRITIS im Unternehmen

Für die Sicherheit der eigenen KRITIS-Anlagen und Umsetzung angemessener Cyber Security Maßnahmen ist die Geschäftsführung der KRITIS-Betreiber verantwortlich. Die Registrierung der KRITIS-Anlagen, die Definition vom Geltungsbereich und Auswahl konkreter Maßnahmen kann durch die KRITIS-Organisation zentral mit dem ISMS koordiniert werden.

BSI-ID Anforderung
§8a (1) BSIG Angemessene Cyber Security Maßnahmen im KRITIS-Geltungsbereich

KRITIS-Anlagen

Betreiber sind für die Identifikation von KRITIS-Anlagen im eigenen Betrieb und Feststellung der eigenen Betroffenheit als Kritische Infrastruktur verantwortlich. Die KRITIS-Organisation beim Betreiber kann die Identifizierung als Kritische Infrastruktur und Registrierung beim BSI zentral koordinieren — ebenso den weiteren Informationsaustausch dazu.

Geltungsbereich

Nach Feststellung der eigenen Betroffenheit müssen Betreiber den Geltungsbereich der KRITIS-Anlagen im eigenen Unternehmen definieren. Die zentrale KRITIS-Organisation sollte die Definition des Geltungsbereichs der KRITIS-Anlagen koordinineren — die KRITIS-Anlagen sollten auf die zwingend notwendigen Prozesse und IT/OT für die Versorgungssicherheit begrenzt werden. Der Aufwand der Vorsorgemaßnahmen und Prüfungen hängt direkt von dieser Definition ab.

Vorgaben für KRITIS

Die KRITIS-Organisation kann die spezifischen Anforderungen von KRITIS im Betrieb in einer übergreifenden KRITIS-Policy für den Geltungsbereich zentral definieren. Diese Policy fasst als KRTITIS-Vorgabewerk die wichtigsten Pflichten und Kontrollen der Kritischen Infrastrukturen im Rahmen des ISMS zusammen.

Cyber Security in KRITIS

Betreiber müssen nach §8a (1) BSIG geeignete technische und organisatorische Maßnahmen in den registrierten KRITIS-Anlagen treffen. Die zentrale KRITIS-Organisation sollte den Zielzustand im KRITIS-Geltungsbereich maßgeblich mitgestalten, im Einklang mit Geschäftsführung und ISMS — die Risiken und Schutzziele der KRITIS-Anlagen können andere Prioritäten verlangen als der reguläre Geschäftsbetrieb, IT oder ISMS.

Die zentrale KRITIS-Organisation kann die Cybersecurity Strategie in den KRITIS-Anlagen langfristig steuern — und die Ressourcen beim Aufbau des Sicherheitsniveaus mit Bedacht planen, anstatt rein reaktiv nach Vorfällen oder Prüfungen handeln zu müssen. Dabei helfen: ein risiko­orientiertes Cyber Security Programm, ein langfristiges Prüfprogramm und ein strategischer Umgang mit der eigenen Organisation und dem technologischen Wandel.

Nachweise

Artefakte für angemessene Cyber Security Vorbereitungen sind u.a.:

  1. Commitment der GF
  2. Cyber Security Pläne
  3. Mängellisten
  4. Ergebnisse der Prüfungen

up

Steuerung der Prüfungen

Die Angemessenheit und Wirksamkeit der IT-Sicherheitsmaßnahmen in den KRITIS-Anlagen muss durch KRITIS-Betreiber alle zwei Jahre durch BSIG-Nachweisprüfungen nachgewiesen werden. Die zentrale KRITIS-Organisation kann die Planung, Beauftragung und Durchführung der Prüfungen steuern — und langfristig durch ein strategisches Prüfprogramm organisieren.

Die Nachweise aus den Prüfungen, Fragen im Vorfeld oder Klärungen und Rückfragen danach sollten ebenfalls zentral durch die KRITIS-Organisation gesteuert werden.

BSI-ID Anforderung
§8a (3) BSIG Regelmäßige KRITIS-Nachweisprüfungen

Nachweise

Nachweise für eine effektive Steuerung der Prüfungen sind u.a.:

  1. Fristgerechte Prüfungen
  2. Vollständige Unterlagen
  3. Rückfragen vom BSI

up

Integration im Unternehmen

Die KRITIS-Organisation muss zur Behebung mit weiteren Organisationen vernetzt sein.

up

Weitere Informationen

Literatur

  1. Supply Chain Risk Management Practices for Federal Information Systems and Organizations, NIST SP 800-161, April 2015 (und Draft for Comments 2020)
  2. Managing Information Security Risk: Organization, Mission, and Information System View, NIST SP 800-39, März 2011

Quellen

  1. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
  2. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist