KRITIS-Organisation
Eine zentrale KRITIS-Organisation kann bei KRITIS-Betreibern die vielen KRITIS-Pflichten koordinieren und als zentrale Stabsstelle operativ das Meldewesen ans BSI und die Registrierung beim BSI organisieren.
Mit dem ISMS kann die KRITIS-Organisation den KRITIS-Geltungsbereich der Kritischen Infrastrukturen definieren und die Maßnahmenumsetzung begleiten und überwachen. Im BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen wird das Meldewesen erwähnt, die anderen Anforderungen ergeben sich aus dem BSI-Gesetz:
| Bereich | BSI-ID | Anforderung |
|---|---|---|
| Meldewesen | 97, 100 §8b (3-4) BSIG |
Kontaktstelle und Austausch mit Behörden Meldepflichten |
| Stabsstelle | §8a (1) BSIG | Steuerung der Cybersecurity im KRITIS-Geltungsbereich |
| Prüfungen | §8a (3) BSIG | Koordinierung der KRITIS-Nachweisprüfungen im KRITIS-Geltungsbereich |
Meldewesen
Kontakt mit Behörden
Der Informationsaustausch mit relevanten Behörden und die Meldepflichten für Kritische Infrastrukturen sollten bei KRITIS-Betreibern zentral gesteuert werden — die KRITIS-Organisation kann dies als einheitliche Meldestelle im Unternehmen koordinieren.
| BSI-ID | Anforderung |
|---|---|
| BSI-97 | Kontakt zu relevanten Behörden und Interessenverbänden |
| BSI-100 | Einrichtung einer Kontaktstelle |
| §8b (3-4) BSIG | KRITIS-Meldepflichten |
Kontaktstelle
Die zentrale KRITIS-Organisation kann die jederzeit erreichbare
Kontaktstelle für Kritische Infrastrukturen beim Betreiber nach §8b Abs. 3 BSIG realisieren und beim BSI registrieren.
Sie nimmt dann Meldungen und Informationen von beiden Seiten an (Betrieb und BSI).
Meldepflichten
KRITIS-Betreiber müssen Störungen an Prozessen, Komponenten und IT der registrierten Anlagen an das BSI melden. Die zentrale KRITIS-Organisation kann diese Meldungen als zentrale Meldestelle annehmen, aufbereiten und an das BSI verschicken. Dabei ist sie auf Informationen der Cyber Security Angriffserkennung beim Betreiber angewiesen.
Informationsaustausch
Für Informationen zu aktuellen Bedrohungslage müssen Betreiber Kontakte zu relevanten Aufsichtsbehörden und staatlichen Stellen etablieren. Dazu sollte die zentrale KRITIS-Organisation Prozesse definieren, wie Informationen erhalten, ausgetauscht und innerhalb des Betreibers weitergeleitet werden — z.B. zu Schwachstellen und Angriffen.
Nachweise
Artefakte als Nachweis für ein funktionierendes Meldewesen sind u.a.:
- Registrierungsformular
- Gemeldete Vorfälle
- Teilnahme an Terminen
- Quittierungen
KRITIS-Stabsstelle
Koordinierung von KRITIS im Unternehmen
Für die Sicherheit der eigenen KRITIS-Anlagen und Umsetzung angemessener Cyber Security Maßnahmen ist die Geschäftsführung der KRITIS-Betreiber verantwortlich. Die Registrierung der KRITIS-Anlagen, die Definition vom Geltungsbereich und Auswahl konkreter Maßnahmen kann durch die KRITIS-Organisation zentral mit dem ISMS koordiniert werden.
| BSI-ID | Anforderung |
|---|---|
| §8a (1) BSIG | Angemessene Cyber Security Maßnahmen im KRITIS-Geltungsbereich |
KRITIS-Anlagen
Betreiber sind für die Identifikation von KRITIS-Anlagen im eigenen Betrieb und Feststellung der eigenen Betroffenheit als Kritische Infrastruktur verantwortlich. Die KRITIS-Organisation beim Betreiber kann die Identifizierung als Kritische Infrastruktur und Registrierung beim BSI zentral koordinieren — ebenso den weiteren Informationsaustausch dazu.
Geltungsbereich
Nach Feststellung der eigenen Betroffenheit müssen Betreiber den Geltungsbereich der KRITIS-Anlagen im eigenen Unternehmen definieren. Die zentrale KRITIS-Organisation sollte die Definition des Geltungsbereichs der KRITIS-Anlagen koordinineren — die KRITIS-Anlagen sollten auf die zwingend notwendigen Prozesse und IT/OT für die Versorgungssicherheit begrenzt werden. Der Aufwand der Vorsorgemaßnahmen und Prüfungen hängt direkt von dieser Definition ab.
Vorgaben für KRITIS
Die KRITIS-Organisation kann die spezifischen Anforderungen von KRITIS im Betrieb in einer übergreifenden KRITIS-Policy für den Geltungsbereich zentral definieren. Diese Policy fasst als KRTITIS-Vorgabewerk die wichtigsten Pflichten und Kontrollen der Kritischen Infrastrukturen im Rahmen des ISMS zusammen.
Cyber Security in KRITIS
Betreiber müssen nach §8a (1) BSIG geeignete technische und organisatorische Maßnahmen in den registrierten KRITIS-Anlagen treffen. Die zentrale KRITIS-Organisation sollte den Zielzustand im KRITIS-Geltungsbereich maßgeblich mitgestalten, im Einklang mit Geschäftsführung und ISMS — die Risiken und Schutzziele der KRITIS-Anlagen können andere Prioritäten verlangen als der reguläre Geschäftsbetrieb, IT oder ISMS.
Die zentrale KRITIS-Organisation kann die Cybersecurity Strategie in den KRITIS-Anlagen langfristig steuern — und die Ressourcen beim Aufbau des Sicherheitsniveaus mit Bedacht planen, anstatt rein reaktiv nach Vorfällen oder Prüfungen handeln zu müssen. Dabei helfen: ein risikoorientiertes Cyber Security Programm, ein langfristiges Prüfprogramm und ein strategischer Umgang mit der eigenen Organisation und dem technologischen Wandel.
Nachweise
Artefakte für angemessene Cyber Security Vorbereitungen sind u.a.:
- Commitment der GF
- Cyber Security Pläne
- Mängellisten
- Ergebnisse der Prüfungen
Steuerung der Prüfungen
Die Angemessenheit und Wirksamkeit der IT-Sicherheitsmaßnahmen in den KRITIS-Anlagen muss durch KRITIS-Betreiber alle zwei Jahre durch BSIG-Nachweisprüfungen nachgewiesen werden. Die zentrale KRITIS-Organisation kann die Planung, Beauftragung und Durchführung der Prüfungen steuern — und langfristig durch ein strategisches Prüfprogramm organisieren.
Die Nachweise aus den Prüfungen, Fragen im Vorfeld oder Klärungen und Rückfragen danach sollten ebenfalls zentral durch die KRITIS-Organisation gesteuert werden.
| BSI-ID | Anforderung |
|---|---|
| §8a (3) BSIG | Regelmäßige KRITIS-Nachweisprüfungen |
Nachweise
Nachweise für eine effektive Steuerung der Prüfungen sind u.a.:
- Fristgerechte Prüfungen
- Vollständige Unterlagen
- Rückfragen vom BSI
Integration im Unternehmen
Die KRITIS-Organisation muss zur Behebung mit weiteren Organisationen vernetzt sein.
- ISMS: Abgleich zu KRITIS-Anlagen und Geltungsbereich von Assets und IT; Austausch und gemeinsame Definition vom Cyber Security Niveau und Maßnahmen in KRITIS-Anlagen
- Angriffserkennung: Erhalt von Informationen zu meldepflichten Störungen
- BCM: Austausch zu Identifikation und Geltungsbereich von KRITIS-Anlagen
Weitere Informationen
Literatur
- Supply Chain Risk Management Practices for Federal Information Systems and Organizations, NIST SP 800-161, April 2015 (und Draft for Comments 2020)
- Managing Information Security Risk: Organization, Mission, and Information System View, NIST SP 800-39, März 2011
Quellen
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist