Reifegrade in KRITIS
Das BSI hat mit der Reife- und Umsetzungsgradbewertung (RUN) verbindliche Anforderungen an Reifegrade und Maßnahmen für Betreiber festgelegt.
In KRITIS-Prüfungen müssen Prüfer den Reifegrad von Managementsystemen und die Umsetzung von Security-Maßnahmen mit RUN feststellen.
Es gibt fünf Reifegrade für Cybersecurity bei Betreibern, vom BSI auch Umsetzungsgrade genannt.
- RUN
- Reifegrad 1
- Reifegrad 2
- Reifegrad 3
- Reifegrad 4
- Reifegrad 5
Das BSI hat diese fünf Reifegrade in RUN definiert und zusätzlich mit viel Aufwand einzelne Maßnahmen der Konkretisierung der Anforderungen (KdA) und Orientierungshilfe Angriffserkennung *(OH SzA) diesen Reifegraden zugeordnet.
Die folgenden Darstellung zeigt nun alle Anforderungen der verschiedenen Quellen pro Reifegrad unter Nutzung der BSI-IDs.
Reifegrade (RUN)
Übersicht
Das BSI definiert mit RUN fünf Reifegrade und fünf Umsetzungsgrade, um die Reife von Managementsystemen und den Umsetzungsstand von Maßnahmen bei Betreibern festzulegen:
| Nr |
Reifegrad
ISMS, BCMS |
Umsetzungsgrad
SzA, OrgM, PersM, PhyM, TecM |
| 1 |
Geplant |
Ohne Maßnahmenumsetzung |
| 2 |
Gesteuert |
Einzelmaßnahmen, Teildurchführung |
| 3 |
Etabliert |
Maßnahmen umgesetzt, Prozessdurchführung |
| 4 |
Messbar |
Maßnahmen umgesetzt, plus Messbarkeit |
| 5 |
Kontinuierlich verbessert |
Maßnahmen umgesetzt, plus Verbesserung |
Die notwendigen Reife- und Umsetzungsgrade beziehen sich auf sieben Cybersecurity-Bereiche:
- Sicherheitsmanagement (ISMS): Vorgaben, Prozesse und Steuerung von Informationssicherheit
- Kontinuitätsmanagement (BCMS): Vorgaben, Prozesse und Steuerung von Resilienz
- Organisatorische Maßnahmen (OrgM): Prozesse und umgesetzte Maßnahmen
- Personenbezogene Maßnahmen (PersM): Vorgaben und Prozesse HR-Sicherheit
- Physische Maßnahmen (PhyM): Physische Schutzmaßnahmen
- Technische Maßnahmen (TecM): Technische IT-Sicherheit und IT-Vorgaben
- Systeme zur Angriffserkennung (SzA): Logging, Detektion und Reaktion
up
Reifegrad 1
Der Reifegrad 1 bei Betreibern besteht aus unvollständigen und nur geplanten Prozessen im ISMS und BCMS, ohne signifikante Maßnahmenumsetzung oder -planung von IT-Sicherheit.
Reifegrad 1 - Mindestniveau (RUN)
| Bereich |
Anforderungen |
ISMS
BCMS |
- Unvollständige oder informelle Prozesse etabliert
- Wenig oder keine Dokumentation zu Prozessen und Vorgaben
- Nur vereinzelte oder keine Maßnahmen umgesetzt
|
| ISMS |
Mindestens: Geltungsbereich, Risikomanagement, Steuerung, Prozesse |
| BCMS |
Mindestens: Aufbau BCM in Arbeit, erste Festlegungen |
| OrgM |
- |
| PersM |
- |
| PhyM |
- |
| TecM |
- |
| SzA |
- |
up
Reifegrad 2
Für den Reifegrad 2 müssen Betreiber ISMS und BCMS teilweise etablieren und eine längere Liste an technischen und organisatorischen Schutzmaßnahmen umgesetzt haben.
Reifegrad 2 - Mindestniveau (RUN)
| Bereich |
Anforderungen |
ISMS
BCMS |
- Nur teilweise etablierte Prozesse
- Grundlegende Dokumentationen zu Prozessen und Vorgaben
- Teilweise zweckmäßige Maßnahmen umgesetzt
|
| ISMS |
Mindestens: Geltungsbereich, Strategie und Vorgaben, Risikoanalysen, Steuerung |
| BCMS |
Mindestens: Schnittstellen ISMS, Aufrechterhaltung, Krisenmanagement, Pläne |
| OrgM |
- Strategische Vorgaben zur Informationssicherheit und Verantwortung Unternehmensleitung BSI-2
- Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit BSI-3.1
- Funktionstrennung (Separation of Duties) von Rollen und Verantwortungen BSI-4
- Zuweisung von Asset Verantwortlichen und Nutzungsanweisungen BSI-6BSI-7
- Informationsklassifizierung und Kennzeichnen von Assets BSI-9BSI-10
- Datenträger und Überführung von Assets BSI-11BSI-12
- Richtlinie Risikomanagement und Identifikation Risiken BSI-13BSI-14.2
- Folgenabschätzung und Maßnahmenableitung BSI-15BSI-16
- Kompetenzen IT und Betrieb BSI-65
- Freigabe und Management von Richtlinien BSI-66.2
- Richtlinie IT-Prüfungen und Berichte Unternehmensleitung BSI-83.1BSI-85
- Kontakt zu Behörden und Interessensvertretern BSI-97.1
- Richtlinie Sicherheitsanforderungen Dienstleister BSI-98
|
| PersM |
- Einstellung und Verträge BSI-57
- Rollenzuweisungen und Vieraugen-Prinzip BSI-58
- IAM: Nutzerregistrierung und Berechtigungen BSI-59BSI-60.2
- IAM: Provisionierung Berechtigungen und Überprüfung BSI-61BSI-62
- Beendigung Beschäftigung BSI-70
|
| PhyM |
- Perimeterschutz und Zutrittsschutz BSI-72
- Vorgaben zur Wartung der Infrastruktur BSI-73
|
| TecM |
- Maßnahmen zur Überwachung und Provisionierung BSI-20.2
- Schutz vor Malware BSI-21
- Vorgaben Backup und Recovery BSI-22
- Überwachung und Tests von Backup und Recovery BSI-23BSI-24
- Systemhärtung BSI-25
- Sichere Authentisierung und Anmeldeverfahren BSI-26BSI-27
- Zugriffskontrolle und Passwortanforderungen BSI-28BSI-29
- Einschränkung Administration und Quelcode BSI-30BSI-31
- Richtlinie Kryptographie BSI-32
- Technische Schutzmaßnahmen BSI-36
- Überwachung Verbindungen und Sicherheitsgateways BSI-37BSI-38
- Administrationsnetze und Netzwerk-Dokumentation BSI-39BSI-40
- Richtlinie Datenübertragung BSI-41
- Vertraulichkeitserklärung intern und extern BSI-42
- Richtlinie Entwicklung/Beschaffung und ausgelagerte Entwicklung BSI-43BSI-44
- Richtlinie Change Management und Risikobewertung Changes BSI-45BSI-46
- Change Management Prozesse BSI-47BSI-48BSI-49BSI-50
- Tests und Überprüfung, Notfalländerungen BSI-51BSI-52
- Trennung Produktivumgebung (Systemlandschaft) BSI-53
- Funktionstrennung im Change Management BSI-54
- Vorgaben mobile Endgeräte (MDM) BSI-55
|
| SzA |
- |
up
Reifegrad 3
Im Reifegrad 3 sind bei Betreibern für das ISMS und BCMS Standardprozesse etabliert und dokumentiert sowie viele einzelne (vor allem) organisatorische Maßnahmen umgesetzt.
Für Angriffserkennung sind ein Großteil der SzA-Maßnahmen umgesetzt.
Reifegrad 3 - Mindestniveau (RUN)
| Bereich |
Anforderungen |
ISMS
BCMS |
- Vollständig etablierte Standardprozesse
- Vollständige Dokumentation und Nachweise zu Prozessen und Vorgaben
- Maßnahmen größtenteils umgesetzt
|
| ISMS |
Mindestens: Integrierter Prozess mit Schnittstellen, Organisation, Abhängigkeiten |
| BCMS |
Mindestens: Integrierter Standardprozess, Nachweise, BC-Risiken, Notfallpläne |
| OrgM |
- Reifegrad 2 (UG2) +
- Identifizierte Risiken bei überlappenden Verantwortungen BSI-3.2
- Asset Inventar und Rückgabe von Assets BSI-5BSI-8
- Verfahren zur Folgeabschätzung IT-Risiken BSI-14.1
- Richtlinien Identifikation Schwachstellen und Prüfung BSI-83.2
- Interne IT-Prüfungen bei Unterauftragnehmern und externe Audits BSI-87.3BSI-88
- Verfahren zum Verteilen externer Informationen intern BSI-97.2
- Verfahren zur Kontrolle von Dienstleistern BSI-99.1
- Einrichtung KRITIS-Kontaktstelle BSI-100
- Genehmigung von Ausnahmen von Richtlinien BSI-67.1
|
| PersM |
- Reifegrad 2 (UG2) +
- Einstellung und Sicherheitsüberprüfung BSI-56
- Vergabe von Zugriffsberechtigungen nach Vorgabe BSI-60.1
- Berechtigungen von Administratoren und Notfallnutzer BSI-63BSI-64
- Schulungs- und Awarenessprogramm, interne und extern BSI-68.1BSI-68.2
- Prozess für Disziplinarverfahren BSI-69
|
| PhyM |
- Reifegrad 2 (UG2) +
- Sicherung Versorgung Rechenzentrum BSI-71
- Schutz vor Bedrohungen von außen und Unterbrechungen BSI-74BSI-75
|
| TecM |
- Reifegrad 2 (UG2) +
- Verfahren zur Kapazitätsplanung Personal und Ressourcen BSI-20.1
- Verschlüsselung im Transport und bei Speicherung BSI-33BSI-34
- Verfahren zur sicheren Schlüsselverwaltung BSI-35
|
| SzA |
- Notwendige Protokoll- und Protokollierungsdaten und Systeme zur Speicherung BSI-101.2BSI-101.4
- Dokumentation Planungsphase und Protokollierung Systemgruppen BSI-101.7BSI-101.9
- Richtlinie Protokollierung, Abstimmung ISB BSI-102.1BSI-102.3
- Vorgaben und Umsetzung Protokollierung sicherheitsrelevanter Ereignisse BSI-103.*
- Planung und Abdeckung Detekionsmaßnahmen BSI-104.1
- Sicherheitsrichtlinie Detektion, Abstimmung ISB BSI-105.1BSI-105.2
- Rechtliche Rahmenbedingungen Detektion BSI-106
- Meldewege sicherheitsrelevante Ereignisse BSI-107.1BSI-107.2
- Sensibilisierung Mitarbeiter Ereignisse BSI-108
- Systemfunktionen und Malwarescanner BSI-109.1BSI-109.3
- Kontinuierliche Auswertung Protokolldaten und Reaktion BSI-110.1BSI-110.3
- Zusätzliche Detektionssystem und Malwarescanner BSI-111
- Auswertung sicherheitsrelevanter Ereignisse BSI-112
- Auswertung Informationen externer Quellen BSI-113
- Spezialisiertes Personal zur Auswertung Protokollierung BSI-114.1BSI-114.3
- Zentrale Detektion und Echtzeitüberprüfung BSI-115
- Qualifizierung sicherheitsrelevanter Ereignisse BSI-116
- Definition Sicherheitsvorfall und Richtlinie BSI-117.1BSI-118
- Verantwortlungen und Benachrichtigungen bei Vorfällen BSI-119BSI-120
- Behebung und Wiederherstellung BSI-121BSI-122
- Automatische Meldung und Reaktion auf SRE BSI-BSI-
|
up
Reifegrad 4
Der Reifegrad 4 zeichnet sich bei Betreibern durch etablierte und überwachte Prozesse im ISMS und BCMS aus, sowie organisatorische Maßnahmen rund um Prüfungen und Audits.
Für Angriffserkennung sind SOLL-Anforderungen der OH SzA umzusetzen, für weitere Bereiche individuelle Maßnahmen.
Reifegrad 4 - Mindestniveau (RUN)
| Bereich |
Anforderungen |
ISMS
BCMS |
- Vollständig etablierte Standardprozesse mit Kennzahlen überwacht
- Dokumentation und Protokollierung mit Kennzahlen
- Maßnahmen umgesetzt und als wirksam bewertet
|
| ISMS |
Mindestens: Vollständig etabliert, Wirksamkeitsmessung, KPIs und Überwachung |
| BCMS |
Mindestens: Vollständig etabliert, Wirksamkeit Pläne, Tests und Überwachung |
| OrgM |
- Reifegrad 3 (UG3) +
- Compliance-Prüfungen IT-Prozesse BSI-86.1
- Compliance-Prüfungen IT-Systeme BSI-87.1
- Externe Audits im KRITIS-Geltungsbereich BSI-89.1
- Jährliche Überprüfung Richtlinien und Abweichungen BSI-66.1BSI-67.2
|
| PersM |
- Reifegrad 3 (UG3) + individuelle Maßnahmen
|
| PhyM |
- Reifegrad 3 (UG3) + individuelle Maßnahmen
|
| TecM |
- Reifegrad 3 (UG3) + individuelle Maßnahmen
|
| SzA |
- Reifegrad 3 (UG3) +
- Planung Protokollierung Priorisierung, Infrastruktur, Gruppierung BSI-101
- Richtlinie Protokollierung - Schutzbedarf Assets BSI-102.2
- Zentrale Stellen Protokollierung und Netzebene BSI-103.5BSI-103.9
- Prüfung und Test Meldewege BSI-107.3
- Kontrolle gesammelte Meldungen BSI-109.2
- Priorisierung Auswertung Protokolldaten BSI-114.2
- Qualifizierung SRE und Auslösung Reaktion BSI-116.2BSI-116.4
- Definition Vorfall und Schwellen nach Schutzbedarf BSI-117.2
- Schnittstellen zu Notfallmanagement & co. BSI-118.2
- Penetrationstest bei Wiederherstellung BSI-122.2
- Vorgehensweise und Organisation zur Behandlung von Sicherheitsvorfällen BSI-123BSI-124
- Meldewege für Sicherheitsvorfälle BSI-125
- Eindämmung und Einstufung von Sicherheitsvorfällen BSI-126BSI-127
- Schnittstellen Störungs- und Fehlerbehebung, Notfallmanagement BSI-128BSI-129
- Eskalationsstrategie Sicherheitsvorfälle und Schulungen Mitarbeiter BSI-130BSI-131
- Dokumentation Behebung und Nachbereitung Sicherheitsvorfälle BSI-132BSI-133
- Weiterentwicklung (KVP) Prozesse nach Vorfällen BSI-134
- Automatische Maßnahmen und manuelle Qualifizierung BSI-135.3BSI-135.5
|
up
Reifegrad 5
Im Reifegrad 5 laufen ISMS und BCMS mit weiterentwickelten Prozessen und fachlichen Verbesserungen, weitere Maßnahmen sind individuell.
Für Angriffserkennung kommen fortschrittlich Anforderungen hinzu.
Reifegrad 5 - Mindestniveau (RUN)
| Bereich |
Anforderungen |
ISMS
BCMS |
- Vollständiger, wirksamer Standardprozesse mit Weiterentwicklung
- Vollständige Dokumentation und Nachweise vorhanden
- Maßnahmen und Verbesserungsmaßnahmen umgesetzt
|
| ISMS |
Mindestens: Kontinuierliche Weiterentwicklung mit Zielen, Verbesserungen, Revisionen |
| BCMS |
Mindestens: Kontinuierliche Weiterentwicklung, verbesserte Aufrechterhaltung, Revisionen |
| OrgM |
- Reifegrad 4 (UG4) +
- Priorisierte Behebung von Abweichungen aus internen IT-Prüfungen BSI-86.2BSI-87.2
- Priorisierte Behebung von Abweichungen aus externen Audits BSI-89.2
- Risikoanalyse und Mitigation von Abweichungen bei Dienstleistern BSI-99.2
|
| PersM |
- Reifegrad 4 (UG4) + individuelle Maßnahmen
|
| PhyM |
- Reifegrad 4 (UG4) + individuelle Maßnahmen
|
| TecM |
- Reifegrad 4 (UG4) + individuelle Maßnahmen
|
| SzA |
- Reifegrad 4 (UG4) +
- Automatisierte Schwachstellen-Scanner BSI-84
- Richtlinien zur automatisierten Log-Auswertung BSI-90
- Liste kritischer Assets für das Loggin BSI-91
- Aufbewahrung und Konfiguration von Logs BSI-92BSI-93
- Verfügbarkeit der Logging-Software BSI-94
- Jährliche Penetrationstests BSI-95
- Richtlinien zum Umgang mit kritischen Schwachstellen BSI-96
- Zusätzliche Systeme zur Protokollierung BSI-101.3BSI-101.6
- Befristete Speicherung der unbearbeiteten Logdaten BSI-103.8
- Nutzung standardisierter Methoden (MITRE) zur Planung Detektion BSI-104.2
- Automatisierte Auswertung Protokolldaten und Alarmierung BSI-110.2
|
up
Weitere Informationen
