Geltungsbereich

Scope workshop picture

Nach der Identifikation als Kritische Infrastruktur müssen Betreiber im eigenen Unternehmen den Geltungsbereich der KRITIS-Anlagen definieren. Dieser Bereich beschreibt pro Anlage die für den Betrieb notwendigen Prozesse und Technologien (IT, OT, Kommunikation) und ist im weiteren Verlauf relevant für:

Der KRITIS-Geltungsbereich wird als ein eigenständiges, zusammenhängendes Dokument pro KRITIS-Anlage vom Betreiber erstellt. Das BSI hat hierzu Empfehlungen und Erfahrungen aus der Praxis an Geltungsbereiche publiziert. Die Anforderungen an Geltungsbereiche sind mittlerweile für KRITIS-Prüfung normativ verbindlich über GAiN.

Dokumentation vom Geltungsbereich

Geltungsbereich

Der Geltungsbereich legt alle Prozesse, Komponenten und IT-Systeme der registrierten und zu prüfenden KRITIS-Anlagen fest, die für die Funktion der kritischen Dienstleistung zur Gewährleistung der Versorgungssicherheit notwendig sind.

Diese Festlegungen werden in der Dokumentation vom Geltungsbereich durch Betreiber in einem eigenen Dokument beschrieben und als Anlage PD.A in der KRITIS-Prüfung verwendet.

Die folgenden Ausführungen referenzieren die BSI-Anforderungen G01-G13/N01-N12 aus der Orientierungshilfe Nachweise (OH-N), Anhang C. Siehe dazu auch »Informationen zur Wahl des Geltungsbereichs« des BSI und die Tabelle auf dieser Seite unten.

up

Kritische Dienstleistung

Der Geltungsbereich sollte die vom Betreiber erbrachten Teile der kritischen Dienstleistung vollständig und exakt beschreiben. Dies umfasst eine genaue Würdigung der in der KRITIS-Verordnung definierten Dienstleistungen und ihrer Bereiche im eigenen Unternehmen.

Eine Beschreibung der Wertschöpfungskette im eigenen Unternehmen und die Einbettung der kritischen Dienstleistung hilft bei der Abgrenzung — die kritische Dienstleistung wird in den meisten Fällen nur einen Teil der Leistungen des Unternehmens von KRITIS-Betreibern ausmachen. Der Geltungsbereich sollte dies genau definieren.

Anforderung G02, G06, G07

up

KRITIS-Anlagen

Die registrierte KRITIS-Anlage sollte beim Betreiber möglichst genau umrissen werden. Die Anlage sollte dazu mit ihren Prozessen und Komponenten exakt eingegrenzt werden auf die Funktion im Sinne der kritischen Dienstleistung.

Eine grafische Darstellung der KRITIS-Anlage hilft bei der Definition der Funktionsweise und Abgrenzung zu Schnittstellen, weiteren Unternehmensteilen und auch Externen. Der spätere Netzstrukturplan sollte sich aus dieser Darstellung ableiten lassen.

Anforderung G01, G03

up

Prozesse

Die einzelnen, zwingend notwendigen Prozesse innerhalb der KRITIS-Anlage zur Funktion der kritischen Dienstleistung sollten genau aufgezählt und beschrieben werden. Es sollten nur diese Prozesse aufgeführt werden, die für die kritische Dienstleistung unbedingt notwendig sind — in der Regel die betrieblichen Kern- oder Leistungsprozesse dieser Anlage.

Eine Prozessnotation oder Darstellungsform ist nicht vorgeschrieben, eine Zuordnung der Komponenten zu Prozessen sollte allerdings ersichtlich sein.

Anforderung G04, G11

up

Komponenten (IT und OT)

Die wichtigsten informationstechnischen Systeme, Komponenten und Prozesse der KRITIS-Anlage müssen im Geltungsbereich erfasst und beschrieben werden. Dies umfasst in der Regel IT-Systeme, IT-Anwendungen, Infrastrukturen und auch OT.

Es gibt keine normative Festlegung zur Darstellung oder dem Detaillierungsgrad — ein Auszug aus dem Asset-Management bzw. Register mit den für die Prozesse der KRITIS-Anlage notwendigen Systeme samt einer genaueren Beschreibung wäre wünschenswert.

Anforderung G05

up

Externe und Schnittstellen

Im Geltungsbereich muss klar ersichtlich sein, ob und welche Teile der IT oder KRITIS-Anlage von Dritten betrieben wird. Dies kann IT-Dienstleister, Infrastrukturanbieter, Cloud- oder auch Outsourcing-Provider umfassen. Die Schnittstellen der KRITIS-Anlage und ihrer IT zu externen Betreibern, Systemen und Infrastrukturen muss ebenfalls klar ersichtlich sein (Wartung, Datenaustausch usw.).

Wichtig: für ausgelagerte IT und Komponenten bleibt der Betreiber der KRITIS-Anlage voll verantwortlich. Die Betriebsverantwortung wird durch Verantwortung für Service Management und Dienstleister-Steuerung erweitert — das A verbleibt beim KRITIS-Betreiber.

Anforderung G08, G10

up

Netzstrukturplan

Eine der Kernforderungen der Vorgaben ist ein Netzstrukturplan der Kritischen Infrastruktur als Teil des Geltungsbereichs (G12). Es gibt keine normativen Vorgaben zur genauen Darstellung, Form oder Umfang des Netzstrukturplans, aber insgesamt zehn allgemeinere Anforderungen (N01 bis N12) aus der Orientierungshilfe:

Anmerkung: Der Netzstrukturplan soll mithin keine vertraulichen, proprietären Informationen enthalten oder interne Netzwerkpläne exakt wiedergeben — sondern einen relevanten und angemessenen Überblick der kritischen Dienstleistung und KRITIS-Anlage (was läuft wo).

Anforderung G12, G13, N01 bis N12

up

Formelle Anforderungen

Die formellen Anforderungen aus der Orientierungshilfe Nachweise (OH-N) des BSI sind seit 2023 für Geltungsbereiche verbindlich in Prüfungen (GAiN).

Anforderungen aus BSI OH-N, Version 1.1 2020
Nr. Anforderung
Geltungsbereich
G01 Die Anlage ist erkennbar und nachvollziehbar beschrieben.
G02 Die vom Betreiber erbrachten Teile der kDL sind erkennbar und nachvollziehbar beschrieben.
G03 Die Darstellung enthält alle wesentlichen Merkmale der Anlagenkategorie.
G04 Alle für die kDL maßgeblichen Prozesse sind erfasst.
G05 Alle für die kDL maßgeblichen Systeme, Komponenten und ggf. Applikationen sind erfasst.
G06 Alle Bereiche der KRITIS gehen aus dem eingereichten Geltungsbereich hervor.
G07 Die Grenzen des Geltungsbereiches sind klar erkennbar.
G08 entfällt seit 202408.
G09 Die Abhängigkeiten zu außerhalb des Geltungsbereich liegenden Prozessen, Systemen, Komponenten und ggf. Applikationen sind erkennbar und nachvollziehbar beschrieben.
G10 Durch Dritte betriebene Teile der KRITIS sind erkennbar und nachvollziehbar beschrieben.
G11 Der Geltungsbereich ermöglicht eine Zuordnung zwischen Prozessen und zugehörigen notwendigen Systemen, Komponenten und ggf. Applikationen.
G12 Der Geltungsbereich ist in einem Netzstrukturplan dargestellt.
G13 Zum Verständnis notwendige schriftliche Ergänzungen zum Netzstrukturplan wurden vorgenommen.
Netzstrukturplan (NSP)
N01 Der Netzstrukturplan bietet einen Überblick über den Geltungsbereich.
N02 Alle maßgeblichen Systeme, Komponenten und ggf. Applikationen sind dargestellt.
N03 Das Abstraktionsniveau ist passend gewählt worden.
N04 entfällt seit 202408.
N05 Alle Kommunikationsschnittstellen nach außen sind dargestellt.
N06 Wartungsschnittstellen sind abgebildet, sofern sie dauerhaft freigeschaltet sind.
N07 Der Netzstrukturplan gibt eine ggf. existierende Aufteilung in Standorte wieder.
N08 Die IT-Anbindungen verschiedener Standorte zueinander sind dargestellt.
N09 Ausgelagerte Dienstleistungen sind dargestellt.
N10 Funktionale Bezeichnungen und Legenden liegen nötigenfalls vor und sind verständlich.
N11 Netztrennung und Separierung einzeichnen.
N12 Abdeckung durch Systeme zur Angriffserkennung (SzA) kenntnlich gemacht.

up

Weitere Informationen

Literatur

  1. Zur Dokumentation des Geltungsbereiches bei KRITIS-Betreibern, Erfahrungen aus den Nachweisen, Bundesamt für Sicherheit in der Informationstechnik, 28.06.2022
  2. Informationen zur Wahl des Geltungsbereichs, Infos für Prüfer, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Quellen

  1. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12.05.2023
  2. Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß §8a (2) BSIG, Bundesamt für Sicherheit in der Informationstechnik, Version 1.3, 23.02.2024
  3. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  4. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist