BSI und KRITIS Standards
Für KRITIS und NIS2 gibt es für Betreiber von offizieller Seite Vorgaben vom BSI. Diese Standards konkretisieren Sicherheitsmaßnahmen und Methoden in der Umsetzung für Kritische Infrastrukturen. Daneben gibt es weitere BSI-Standards wie C5 und IT-Grundschutz, die in der Auswahl von Maßnahmen hilfreich sein können.
Im Rahmen von NIS2 werden die Vorgaben in 2024 und 2025 noch überarbeitet werden. Die BSI-Vorgaben wurden im OpenKRITIS-Mapping für KRITIS weiteren Standards zugeordnet.
Mapping von Cyber Security Standards und KRITIS
Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙
OpenKRITIS-Analyse von KRITIS-Standards ∙ 2024
KRITIS-Standards
BSI Konkretisierung KRITIS
Der BSI KRITIS-Standard Konkretisierung der Anforderungen an die gemäß §8a Absatz 1 BSIG umzusetzenden Maßnahmen (PDF) definiert Sicherheitsanforderungen an Betreiber Kritischer Infrastrukturen, basierend auf dem Cloud-Sicherheitsstandard C5:2016.
Die insgesamt 100 Kontrollen sind ein Anforderungskatalog
, um Betreibern und Prüfern geeignete Kriterien
für die Nachweiserbringung zur Verfügung zu stellen.
Dieser Katalog ist nicht verbindlich und auch kein (normativer) Standard, kann aber eine Orientierung für den Aufbau von Sicherheitsmanagement in KRITIS sein, der Prüfern und dem BSI bekannt ist.
Eine Fortschreibung der BSI-Anforderungen für das deutsche NIS2-Umsetzungsgesetz ist seit Herbst 2024 beim BSI geplant.
Es gibt ein Mapping der BSI KRITIS-Anforderungen auf ISO 27001, C5 und NIST; die Kontrollen der BSI-Konkretisierung lassen sich in folgende Gruppen zusammenfassen:
| Kategorie | Beschreibung | Kontrollen |
|---|---|---|
| ISMS | Management-System für Informationssicherheit | 21 |
| BCM und Notfall-Management | Business Continuity Management und IT-Notfallmanagement | 4 |
| Risiko und Assets | Risiko-Management und Asset-Management | 12 |
| KRITIS | KRITIS-Organisation und Meldestelle. | 2 |
| Technologie | Technische Maßnahmen IT | 36 |
| Angriffserkennung | Systeme zur Angriffserkennung. | 13 |
| IAM | Berechtigungen | 7 |
| Gebäude | Physische Sicherheit | 6 |
| Lieferanten | Externe | 2 |
Neben den Anforderungen der BSI-Konkretisierung ist ab 2023 auch die Orientierungshilfe für Angriffserkennung (OH SzA) für KRITIS-Betreiber in der Umsetzung (und Prüfung) quasi-verbindlich als Erweiterung der BSI-Vorgaben, die umgesetzt werden müssen.
| Kategorie | Beschreibung | Kontrollen |
|---|---|---|
| Allgemein | Steuerung und Vorgaben für Angriffserkennung | |
| Protokollierung | Vorgaben zum Logging und Protokollen auf Systemen | |
| Erkennung | Detektion durch Prozesse und Systeme, Incident Management | |
| Reaktion | Vorfallsbehandlung und Reaktion, Business Continuity |
IDW PH 9.860.2
Der Prüfhinweis PH 9.860.2 für Kritische Infrastrukturen ist kein Sicherheitsstandard per se, sondern richtet sich an Prüfungsgesellschaften für die Durchführung von KRITIS-Prüfungen. Analog zum BSI-Dokument Konkretisierung der Anforderungen basiert der PH 9.860.2 auf C5:2016, abgewandelt für Kritische Infrastrukturen.
Der Schwerpunkt vom IDW PH 9.860.2 ist der kontroll-basierte Nachweis von KRITIS-Anforderungen, der Standard beschreibt daher ein prüfbares Kontroll-Rahmenwerk das Betreiber (in der Vorbereitung) und Prüfer für KRITIS nutzen können.
| Kapitel | Inhalt | Kontrollen |
|---|---|---|
| 2.1 | Informationssicherheitsmanagementsystem (ISMS) | 4 |
| 2.2 | Asset Management | 8 |
| 2.3 | Risikoanalysemethode | 4 |
| 2.4 | Continuity Management | 3 |
| 2.5 | Technische Informationssicherheit | 36 |
| 2.6 | Personelle und organisatorische Sicherheit | 15 |
| 2.7 | Bauliche/physische Sicherheit | 6 |
| 2.8 | Vorfallserkennung und -bearbeitung | 6 |
| 2.9 | Überprüfung im laufenden Betrieb | 14 |
| 2.10 | Externe Informationsversorgung und Unterstützung | 3 |
| 2.11 | Meldewesen | 1 |
| 2.12 | Externe | 2 |
Anpassungen am IDW Prüfhinweis für C5:2020 und weitere Änderungen wie die OH SzA sind (wohl) in Arbeit.
Weitere BSI Standards
C5 Cloudsecurity
C5 ist ein Standard für Informationssicherheit in Cloud Computing, herausgegeben vom BSI. Obwohl formell auf Cloud-Anbieter fokussiert, wird C5 in der Industrie häufig als genereller Sicherheitsstandard eingesetzt — auch bei KRITIS-Betreibern. Sowohl die Konkretisierung der Anforderungen des BSI als auch der IDW KRITIS Prüfhinweis 9.860.2 nutzen C5-Kontrollen.
Der C5-Standard enthält vor allem Sicherheitsanforderungen in einer großen Bandbreite an Einzelthemen — definiert in 127 Kontrollen in der aktuellen Version C5:2020.
| Kapitel | Bereich | Kontrollen |
|---|---|---|
| OIS | Organisation | 7 |
| SP | Richtlinien | 3 |
| HR | Personal | 6 |
| AM | Asset Management | 6 |
| PS | Physische Sicherheit | 7 |
| OPS | Regelbetrieb | 24 |
| IDM | Identitäten und Berechtigungen | 9 |
| CRY | Kryptographie | 4 |
| COS | Kommunikationssicherheit | 8 |
| PI | Portabilität und Interoperabilität | 3 |
| DEV | Beschaffung und Entwicklung | 10 |
| SSO | Dienstleistersteuerung | 5 |
| SIM | Vorfallsmanagement | 5 |
| BCM | Business Continuity Management | 4 |
| COM | Compliance | 4 |
| INQ | Staatliche Stellen | 4 |
| PSS | Produktsicherheit | 12 |
Die BSI KRITIS-Anforderungen nutzen aktuell noch C5:2016, die aktuellen C5:2020 Kontrollen sind im Mapping KRITIS auf C5 aufgeführt, das auch ISO 27001, NIST CSF und TKG enthält.
BSI IT-Grundschutz
IT-Grundschutz ist ein nationaler allgemeiner Standard für Informationssicherheit, der seit 1994 vom BSI herausgegeben wird. Entstanden im Behördenumfeld, wird der IT-Grundschutz seit jeher vor allem von öffentlichen Aufgabenträgern eingesetzt, für die das methodisch sehr stringente Vorgehen teilweise verpflichtend ist. Der Standard besteht aus mehreren Teilen:
- BSI-Standard 200-1: Management-System für Informationssicherheit (ISMS)
- BSI-Standard 200-2: Methodik zum Aufbau des ISMS und Anwendung von Grundschutz
- BSI-Standard 200-3: Risikomanagement und Analyse-Vorgehen
- BSI-Standard 200-4 (Draft): Management-System für Business Continuity (BCM)
- Grundschutz-Bausteine: Die Bausteine definieren die Sicherheitsanforderungen in einzelnen Themengebieten, Umgebungen und Sicherheitsniveaus. Nicht alle Bausteine sind verpflichtend.
- Grundschutz-Kompendium: Das Kompendium, vormals die Kataloge (mit ca. 3000 Seiten), enthält die Grundschutz-Bausteine, Gefährdungen und Struktur zum Vorgehen.
- Elementargefährdungen: 47 zusammengefasste elementare Gefährdungen für die Risikoanalyse.
Eine Zertifizierung nach BSI IT-Grundschutz kann wie ISO 27001 im Rahmen des Nachweisprozesses der KRITIS-Prüfungen einige Schritte erleichtern.
Es gibt weiterhin Bestrebungen, mit der Methodik vom IT-Grundschutz Gerüste für den Geltungsbereich und branchenspezifische Referenzarchitekturen
von Anlagen zu entwickeln (Profile bzw. Bausteine).
Die allgemeinen BSI IT-Grundschutz Bausteine decken sehr viele Themen ab mit jeweils noch viele Einzel- und Unteranforderungen.
NIS2-Vorgaben
Maßnahmen und Vorgaben
Es gibt bis 2024 noch wenig NIS-spezifische Standards oder spezielle Anpassungen für NIS2.
- NIS2 §30 Vorgaben: In der NIS2-Richtlinie und deutschen Gesetz sind in §30 bereits konkrete Vorgaben enthalten.
- NIS2 Implementing Act: Für bestimmte IT- und Internet-Provider schreibt die EU direkt Maßnahmen per Implementing Act vor
- Konkretisierungen vom BSI zu NIS2 fehlen noch
- Prüfstandards zu NIS2 fehlen noch
Weitere Informationen
Literatur
- Referenzierung des Kriterienkatalog Cloud Computing C5:2020 auf internationale Standards, Kreuzreferenztabelle C5, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Broschüre Informationssicherheit mit System - Der IT-Grundschutz des BSI", Bundesamt für Sicherheit in der Informationstechnik, 2021