Konkretisierung der Anforderungen (KdA)
Das BSI-Dokument Konkretisierung der Anforderungen (KdA) definiert als quasi-Standard für Betreiber Kritischer Infrastrukturen grundlegende Cybersecurity-Anforderungen. Die KdA wurde 2024 vom BSI aktualisiert und basiert auf dem C5 Cloud Security Standard und wird von KRITIS-Betreibern in der Umsetzung und KRITIS-Prüfern für BSIG-Nachweisprüfungen bei Betreibern genutzt.
Zur Umsetzung von EU NIS2 in Deutschland gibt es separate OpenKRITIS-Übersichten von NIS2-Anforderungen sowie dem NIS2 Implementing Act mit Verweisen auf Security Standards wie ISO 27001 und die Konkretisierung der Anforderungen. Das BSI hat 2024 die Anforderungen für Angriffserkennung (SzA) und Reifegrade (RUN) mit der KdA integriert.
Mapping von Cyber Security Standards und KRITIS
Abgleich von BSI KRITIS, C5, ISO 27001 und OH SzA.
PDF ∙
OpenKRITIS-Analyse von KRITIS-Standards ∙ Februar 2024
BSI-Anforderungen
Übersicht
Der BSI KRITIS-Standard Konkretisierung der Anforderungen an die gemäß §8a Absatz 1 BSIG umzusetzenden Maßnahmen (PDF) definiert Sicherheitsanforderungen an Betreiber Kritischer Infrastrukturen, basierend auf dem Cloud-Sicherheitsstandard C5:2016.
Die insgesamt 135 Kontrollen sind ein Anforderungskatalog, um Betreibern und Prüfern geeignete Kriterien
für die Nachweiserbringung zur Verfügung zu stellen.
Dieser Katalog ist nicht verbindlich, kann aber eine Orientierung für den Aufbau von Sicherheitsmanagement und Umsetzung von KRITIS-Maßnahmen sein.
| Kategorie | Beschreibung | Kontrollen |
|---|---|---|
| ISMS | Management-System für Informationssicherheit | 21 |
| BCM und Notfall-Management | Business Continuity Management und IT-Notfallmanagement | 4 |
| Risiko und Assets | Risiko-Management und Asset-Management | 12 |
| KRITIS | KRITIS-Organisation und Meldestelle. | 2 |
| Technologie | Technische Maßnahmen IT | 36 |
| Angriffserkennung | Systeme zur Angriffserkennung. | 13 |
| IAM | Berechtigungen | 7 |
| Gebäude | Physische Sicherheit | 6 |
| Lieferanten | Externe | 2 |
| Angriffserkennung | Logging, Detektion, Reaktion | 35 |
Als Teil der BSI-Konkretisierung ist die Orientierungshilfe für Angriffserkennung (OH SzA) für KRITIS-Betreiber in der Umsetzung verbindlich als Erweiterung der BSI-Vorgaben.
Mapping KRITIS-Anforderungen
Die 135 KRITIS-Anforderungen der BSI-Konkretisierung (BSI-) werden im folgenden Mapping aktuellen Security-Standards als Orientierung zugeordnet:
- C5:2020: Aktualisierter BSI Cloud Security Standard mit Neuerungen.
- ISO 27001:2022: Informationssicherheit der Annex A Kontrollen.
- NIS2-Anforderungen aus dem EU NIS2 Implementing Act
- Umsetzungsgrad (RUN): Mindestniveau nach BSI RUN-Vorgaben
Alle Angaben ohne Gewähr der Vollständigkeit und Korrektheit. Wird regelmäßig aktualisiert.
| KdA | Anforderung | C5 2020 |
NIS2 IT‑Act |
ISO 27001 2022 |
RUN Grad |
|---|---|---|---|---|---|
| BSI-1 | Managementsystem für Informationssicherheit | OIS-01 | 1.1.1 7.1 |
4.1-10.2 | 1 |
| BSI-2 | Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitung | OIS-02 | 1.1.1 1.1.2 |
6.2 A.5.1 A.5.2 A.5.4 |
2 |
| BSI-3 | Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit | OIS-03 | 1.2.1 1.2.2 1.2.4 |
4.3 A.5.3 A.5.4 |
2/3 |
| BSI-4 | Funktionstrennung | OIS-04 | 1.2.5 | A.5.3 | 2 |
| BSI-5 | Asset Inventar | AM-01 | 12.4.1 12.4.2 12.4.3 |
A.5.9 | 3 |
| BSI-6 | Zuweisung von Asset Verantwortlichen | AM-02 | - | A.5.4 A.5.10 |
2 |
| BSI-7 | Nutzungsanweisungen für Assets | AM-02 | 12.1.1 12.2.1 |
A.5.10 A.7.10 |
2 |
| BSI-8 | Ab- und Rückgabe von Assets | AM-04 AM-05 |
12.5 | A.5.11 A.7.10 A.8.10 |
3 |
| BSI-9 | Klassifikation von Informationen | AM-06 | 12.1.2 | A.5.12 | 2 |
| BSI-10 | Kennzeichnung von Informationen und Handhabung von Assets | AM-06 | 12.1.2 12.2.1 |
A.5.10 A.5.13 |
2 |
| BSI-11 | Verwaltung von Datenträgern | AM-02 AM-05 |
12.3.1 12.3.2 |
A7.10 A.7.14 A.8.10 |
2 |
| BSI-12 | Überführung und Entfernung von Assets | AM-02 | 12.2.2 | A.5.10 A.7.9 A.8.10 |
2 |
| BSI-13 | Richtlinie für die Organisation des Risikomanagements | OIS-06 | 2.1.1 | 6.1 8.2 8.3 |
2 |
| BSI-14 | Identifikation, Analyse, Beurteilung und Folgeabschätzung von IT-Risiken | OIS-07 SSO-02 |
2.1.2 2.1.3 2.1.4 |
6.1 8.2 8.3 |
3/2 |
| BSI-15 | Richtlinien zur Folgeabschätzung | BCM-02 | 4.1.3 | A.5.29 A.5.30 |
2 |
| BSI-16 | Maßnahmenableitung | OIS-01 | 2.1.2 6.7.3 |
6.1.3 8.3 A.5.31 |
2 |
| BSI-17 | Verantwortung der gesetzlichen Vertreter des Betreibers der Kritischen Infrastruktur | BCM-01 | 4.1.1 4.1.2 |
A.5.29 A.5.31 |
2 |
| BSI-18 | Planung der Betriebskontinuität | BCM-03 | 4.1.1 4.1.2 |
A.5.30 | 3/2 |
| BSI-19 | Verifizierung, Aktualisierung und Test der Betriebskontinuität | BCM-04 | 4.1.4 | A.5.29 | 4 |
| BSI-20 | Notwendige und ausreichende Personal- und IT-Ressourcen (Betrieb und IT-Sicherheit) | OPS-01 OPS-02 OPS-03 |
4.2.5 | A.8.6 | 3/2 |
| BSI-21 | Schutz vor Schadprogrammen | OPS-04 OPS-05 |
6.9.1 6.9.2 |
A.8.7 | 2 |
| BSI-22 | Datensicherung und Wiederherstellung | OPS-06 OPS-09 |
4.2.1 4.2.2 |
A.8.13 A.8.14 |
2 |
| BSI-23 | Datensicherung und Wiederherstellung: Überwachung | OPS-07 | 4.2.3 | A.8.13 A.8.16 |
2 |
| BSI-24 | Datensicherung und Wiederherstellung: Regelmäßige Tests | OPS-08 | 4.2.6 | A.8.13 | 2 |
| BSI-25 | Umgang mit Schwachstellen, Störungen und Fehlern: System-Härtung | OPS-23 | 6.3.2 6.6.1 6.10.3 |
A.8.19 | 2 |
| BSI-26 | Geheimhaltung von Authentifizierungsinformationen | IDM-07 | 11.6.3 | A.5.17 | 2 |
| BSI-27 | Sichere Anmeldeverfahren | PSS-05 PSS-06 IDM-08 |
11.1.1 11.6 11.7 |
A.5.15 A.5.17 A.8.5 A.8.24 |
2 |
| BSI-28 | Systemseitige Zugriffskontrolle | 11.1.1 | A.5.15 | 2 | |
| BSI-29 | Passwortanforderungen und Validierungsparameter | PSS-07 | 11.6.2 | A.5.17 | 2 |
| BSI-30 | Einschränkung und Kontrolle administrativer Software | 11.4.1 | A.8.18 A.8.19 |
2 | |
| BSI-31 | Zugriffskontrolle zu Quellcode | - | A.8.4 | 2 | |
| BSI-32 | Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung | CRY-01 | 9.1 9.2 9.3 |
A.5.14 A.5.31 A.8.24 |
2 |
| BSI-33 | Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) | CRY-02 | 9.2 | A.8.20 A.8.21 A.8.24 A.8.33 |
3 |
| BSI-34 | Verschlüsselung von sensiblen Daten bei der Speicherung | CRY-03 | 9.2 12.3.2 |
A.5.34 A.8.24 |
3 |
| BSI-35 | Sichere Schlüsselverwaltung | CRY-04 | 9.2 | A.8.24 | 3 |
| BSI-36 | Technische Schutzmaßnahmen | COS-01 COS-02 |
6.7.1 6.7.2 6.8.2 |
A.8.20 A.8.21 A.8.22 A.8.23 A.8.26 A.8.27 |
2 |
| BSI-37 | Überwachen von Verbindungen | COS-03 | 6.7.1 6.8.1 |
A.8.16 A.8.20 A.8.23 |
2 |
| BSI-38 | Netzwerkübergreifende Zugriffe | COS-04 | 6.8.1 6.8.2 |
A.8.20 A.8.21 A.8.22 |
2 |
| BSI-39 | Netzwerke zur Administration | COS-05 | 6.8.1 6.8.2 11.4.2 |
A.8.22 | 2 |
| BSI-40 | Dokumentation der Netztopologie | COS-07 | 6.7.2 | A.8.22 | 2 |
| BSI-41 | Richtlinien zur Datenübertragung | COS-08 | 6.7.2 | A.5.14 | 2 |
| BSI-42 | Vertraulichkeitserklärung | HR-06 | 10.1.1 10.3.2 |
A.6.6 | 2 |
| BSI-43 | Richtlinien zur Entwicklung, Beschaffung von Informationssystemen | DEV-01 | 6.1.1 6.1.2 6.1.3 6.2.1 |
A.5.8 A.8.25 A.8.26 A.8.27 A.8.28 |
2 |
| BSI-44 | Auslagerung der Entwicklung | DEV-02 | 6.2.3 6.2.4 |
A.8.29 A.8.30 |
2 |
| BSI-45 | Richtlinien zur Änderung von Informationssystemen | DEV-03 | 6.3.2 6.4.1 6.4.4 |
8.1 A.8.31 A.8.32 |
2 |
| BSI-46 | Risikobewertung der Änderungen | DEV-05 | 6.4.2 | 8.1 A.8.9 A.8.32 |
2 |
| BSI-47 | Kategorisierung der Änderungen | DEV-05 | 6.4.2 | 8.1 A.8.32 |
2 |
| BSI-48 | Priorisierung der Änderungen | DEV-05 | 6.4.2 | 8.1 A.8.32 |
2 |
| BSI-49 | Testen der Änderungen | DEV-07 | 6.4.2 | A.8.29 A.8.32 A.8.33 |
2 |
| BSI-50 | Zurückrollen der Änderungen | DEV-08 | 6.4.2 | A.8.32 | 2 |
| BSI-51 | Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung | DEV-09 | 6.4.2 | A.8.32 | 2 |
| BSI-52 | Notfalländerungen | DEV-03 | 6.4.3 | A.8.32 | 2 |
| BSI-53 | Systemlandschaft | DEV-10 | 6.8.2 | A.8.31 | 2 |
| BSI-54 | Funktionstrennung | DEV-10 | - | A.8.31 | 2 |
| BSI-55 | Risikominimierung des Zugriffs über mobile Endgeräte von KRITIS-Betreibern | - | A.8.1 | 2 | |
| BSI-56 | Einstellung und Sicherheitsüberprüfung | HR-01 | 10.1.3 10.2.1 10.2.2 |
A.6.1 | 3 |
| BSI-57 | Einstellung und Beschäftigungsvereinbarungen | HR-02 HR-06 |
10.1.1 | A.6.2 | 2 |
| BSI-58 | Rollenzuweisung und Vieraugenprinzip oder Funktionstrennung | IDM-01 PSS-08 |
11.1.1 11.2.2 11.5.1 |
A.5.3 A.5.15 A.8.3 |
2 |
| BSI-59 | Identitäts- und Berechtigungsmanagement: Benutzerregistrierung | IDM-02 | 11.2.1 | A.5.16 A.5.17 |
2 |
| BSI-60 | Identitäts- und Berechtigungsmanagement: Zugriffsberechtigung | IDM-03 | 11.2.1 11.2.2 |
A.5.18 | 3/2 |
| BSI-61 | Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen | IDM-04 | 11.2.2 | A.5.18 | 2 |
| BSI-62 | Identitäts- und Berechtigungsmanagement: Überprüfungen | IDM-05 | 11.2.3 11.3.3 11.5.4 |
A.5.18 | 2 |
| BSI-63 | Identitäts- und Berechtigungsmanagement: Administratoren | IDM-06 | 11.3.1 11.3.2 11.3.3 |
A.5.3 A.5.18 A.8.2 |
3 |
| BSI-64 | Identitäts- und Berechtigungsmanagement: Notfallbenutzer | IDM-09 | 11.5.3 | A.5.17 A.5.18 |
3 |
| BSI-65 | Festlegung notwendiger Kompetenzen (Betrieb und IT-Sicherheit) | SP-01 | - | A.5.1 A.5.2 |
2 |
| BSI-66 | Überprüfung und Freigabe von Richtlinien und Anweisungen | SP-02 | many | A.5.1 | 4/2 |
| BSI-67 | Abweichungen von bestehenden Richtlinien und Anweisungen | SP-03 | - | A.5.1 | 3/4 |
| BSI-68 | Schulungen und Awareness | HR-03 | 8.1 8.2 |
A.6.3 7.2 |
3 |
| BSI-69 | Disziplinarverfahren | HR-04 | 10.4.1 10.4.2 |
A.6.4 | 3 |
| BSI-70 | Beendigung des Beschäftigungsverhältnisses | HR-05 | 10.3.1 | A.6.5 | 2 |
| BSI-71 | Rechenzentrumsversorgung | PS-02 | 13.1 13.2 |
A.8.14 | 2 |
| BSI-72 | Perimeterschutz | PS-01 | 13.3.1 13.3.2 |
A.7.1 | 2 |
| BSI-73 | Physischer Zutrittsschutz | PS-04 | 13.3.2 | A.5.15 A.5.18 A.7.2 A.7.3 A.7.4 A.8.2 |
2 |
| BSI-74 | Schutz vor Bedrohungen von außen | PS-03 PS-05 |
13.2.1 13.2.2 |
A.7.3 A.7.4 A.7.5 |
2 |
| BSI-75 | Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken | PS-06 | 13.1.1 13.1.2 13.1.3 |
A.7.5 A.7.8 A.7.11 A.7.12 |
2 |
| BSI-76 | Wartung der Infrastruktur | PS-07 | 6.3.1 6.4.1 13.2.3 13.3.3 |
A.7.13 | 2 |
| BSI-77 | Verantwortlichkeiten und Vorgehensmodell | SIM-01 | 3.1 3.5 |
A.5.24 A.6.8 |
? |
| BSI-78 | Bearbeitung von Sicherheitsvorfällen | SIM-02 | 3.5.1 3.5.2 |
A.5.25 A.5.26 |
? |
| BSI-79 | Dokumentation und Berichterstattung über Sicherheitsvorfälle | SIM-03 | 3.3.1 | A.5.25 A.5.26 |
? |
| BSI-80 | Security Incident Event Management (SIEM) | SIM-05 COS-01 |
3.2.1 3.2.2 3.2.4 3.4.1 |
A.5.28 A.6.8 A.8.15 |
? |
| BSI-81 | Verpflichtung der Nutzer zur Meldung von Sicherheitsvorfällen an eine zentrale Stelle | SIM-04 | 3.3.1 3.3.2 |
A.5.2 A.5.24 A.6.8 |
? |
| BSI-82 | Auswertung und Lernprozess | SIM-05 | 3.6.1 3.6.2 |
A.5.27 | ? |
| BSI-83 | Anlassbezogene Prüfungen: Konzept | OPS-17 OPS-20 OPS-22 |
6.10.1 6.10.2 |
A.8.8 A.8.34 |
2/3 |
| BSI-84 | Umgang mit Schwachstellen, Störungen und Fehlern: Prüfung offener Schwachstellen | OPS-21 | 6.6.1 6.10.2 6.10.3 |
A.8.8 | 5 |
| BSI-85 | Compliance und Informieren der Unternehmensleitung | COM-04 | 2.2.1 2.2.2 2.3.3 |
A.5.31 A.5.36 |
2 |
| BSI-86 | Interne Überprüfungen der Compliance von IT-Prozessen mit internen Informationssicherheitsrichtlinien und Standards | COM-02 | 7.1 7.2 2.3.1 2.3.4 |
9.2 A.5.36 A.8.34 |
4/5 |
| BSI-87 | Prüfungen in anderen, anderweitig vorgegebenen Prüfzyklen: interne IT- Prüfungen | COM-03 COM-04 PSS-02 |
2.3.1 | A.5.36 A.8.34 |
4/5/3 |
| BSI-88 | Prüfungen in anderen, anderweitig vorgegebenen Prüfzyklen: Planung externer Audits | COM-02 | 2.3.1 | 9.2 A.5.35 A.5.36 A.8.34 |
3 |
| BSI-89 | Prüfungen in anderen, anderweitig vorgegebenen Prüfzyklen: Durchführung externer Audits | COM-03 | 2.3.2 | A.5.36 A.8.34 |
4/5 |
| BSI-90 | Systematische Log-Auswertung: Konzept | OPS-10 OPS-14 | 3.2.1 3.2.4 |
A.8.15 | 5 |
| BSI-91 | Systematische Log-Auswertung: kritische Assets | OPS-13 | 3.2.1 3.2.3 3.2.7 |
A.8.15 | 5 |
| BSI-92 | Systematische Log-Auswertung: Aufbewahrung | OPS-14 | 3.2.3 3.2.5 |
A.8.15 | 5 |
| BSI-93 | Systematische Log-Auswertung: Konfiguration | OPS-16 | 3.2.2 3.2.5 3.2.6 |
A.8.9 A.8.15 |
5 |
| BSI-94 | Systematische Log-Auswertung: Verfügbarkeit | OPS-17 | 3.2.5 | A.8.15 | 5 |
| BSI-95 | Penetrationstest | OPS-19 | 6.5.1 6.5.2 |
A.8.8 A.8.34 |
5 |
| BSI-96 | Umgang mit Schwachstellen, Störungen und Fehlern: Integration mit Änderungs- und Incident-Management | OPS-20 | 6.6.1 | A.5.7 A.8.8 A.8.32 |
5 |
| BSI-97 | Kontakt zu relevanten Behörden und Interessenverbänden | OIS-05 | 4.3.3 6.10.2 |
A.5.5 A.5.6 |
2/3 |
| BSI-98 | Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister des KRITIS-Betreibers | SSO-01 | 1.2.2 5.1.1 5.1.4 |
A.5.19 A.5.20 A.5.21 A.5.23 |
2 |
| BSI-99 | Kontrolle der Leistungserbringung und der Sicherheitsanforderungen an Dienstleister und Lieferanten des KRITIS-Betreibers | SSO-04 | 5.1.6 | A.5.22 | 3/5 |
| BSI‑100 | Einrichtung einer Kontaktstelle | OIS-05 | - | A.5.5 A.5.31 |
3 |
| BSI‑101- BSI‑135 |
Die SzA-Anforderungen sind in die BSI KRITIS-Anforderungen integriert, siehe separates SzA-Mapping. | ||||
Weitere Informationen
Literatur
- KRITIS-Branchenstandards auf OpenKRITIS
- Mapping KRITIS auf Security Standards (PDF-Version), OpenKRITIS
- NIST Critical Infrastructure Resources, National Institute of Standards and Technology
Quellen
- Konkretisierung der KRITIS-Anforderungen (§ 8a Absatz 1 und Absatz 1a BSIG), OH SzA, Bundesamt für Sicherheit in der Informationstechnik, September 2024
- Referenzierung des Kriterienkatalog Cloud Computing C5:2020 auf internationale Standards, Kreuzreferenztabelle C5, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Mapping von Anforderungen aus der Konkretisierung der KRITIS-Anforderungen auf RUN-Umsetzungsgrade, Bundesamt für Sicherheit in der Informationstechnik, 09.01.2025