Kritische Infrastrukturen

Umsetzung der Anforderungen des IT-Sicherheitsgesetzes für Betreiber Kritischer Infrastrukturen (KRITIS)

Diese Seite gibt Aufklärungen über die Hintergründe und die regulatorischen Anforderungen, welche sich aus der Umsetzung der EU Richtlinie 2016/1148, sog. NIS-Richtlinie (Directive on security of network and information systems) ergeben. Das Ziel dieser Richtlinie ist es, ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union und dem IT-Sicherheitsgesetz vom 25. Juli 2015 zu gewährleisten.

Hintergründe des IT-Sicherheitsgesetzes (IT-SiG)  

Das IT-Sicherheitsgesetz ist Ausdruck der Schutzverantwortung des Staates gegenüber den Bürgerinnen und Bürgern, der Wirtschaft und seinen eigenen Institutionen. Im Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG) in Kraft getreten. Die dadurch eingeführten Gesetzesänderungen dienen dem Schutz dieser Systeme hinsichtlich der aktuellen und zukünftigen Gefährdungen der Schutzgüter Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität.

Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz, durch welches mehrere andere Gesetze geändert werden. Durch das IT-SiG wurden gesetzliche Änderungen im Atomgesetz, Energiewirtschaftsgesetz, BKA-Gesetz, Bundesbesoldungsgesetz, Telemediengesetz, Telekommunikationsgesetz und im Gesetz über das Bundesamt für die Sicherheit in der Informationstechnik (BSIG) vorgenommen.

Zusammen mit dem Gesetz zur Umsetzung der EU Richtlinie 2016/1148 vom 23. Juni 2017, wurden im IT-SiG vor allem Regelungen für Kritische Infrastrukturen vorgenommen, mit dem Ziel, den Schutz von IT-Systemen und Diensten für besonders versorgungskritische Dienstleistungen zu erhöhen.

§2 (10) BSIG definiert Kritische Infrastrukturen als

„Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden“.

Da Ausfälle oder Beeinträchtigungen der Versorgungsdienstleistungen aus diesen Bereichen in der Tat dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland haben können, müssen Betreiber Kritischer Infrastrukturen aus den genannten Sektoren ein Mindestniveau an IT-Sicherheit einhalten und erhebliche IT-Störungen an das BSI melden.

Welche Unternehmen konkret von der Regulierung betroffen sind und welche Maßnahmen zur Umsetzung der Anforderungen des BSI-Gesetztes getroffen werden müssen, wird im Folgenden dargestellt.

Welche Unternehmen sind durch das BSI-Gesetz reguliert?

Die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV)“ definiert die einzelnen sogenannten Anlagenkategorien Kritischer Infrastrukturen je Sektor. Der Versorgungsgrad wird anhand von Schwellenwerten für jede Anlagenkategorie im jeweiligen KRITIS-Sektor bestimmt. Der Regelschwellenwert beträgt dabei 500.000 versorgte Personen.

Am Beispiel der Anlagenkategorie Krankenhaus im Sektor Gesundheit erklären wir, wie Betreiber die Betroffenheit prüfen können:

Im ersten Schritt wird geprüft, ob man Betreiber einer kritischen Anlage gemäß der Definition in der BSI-KritisV ist. Für ein Krankenhaus lautet diese: „Ein Standort oder Betriebsstätten eines nach § 108 des Fünften Buches Sozialgesetzbuch in der jeweils geltenden Fassung zugelassenen Krankenhauses, der oder die für die Erbringung stationärer Versorgungsleistungen notwendig ist oder sind.“

Im zweiten Schritt wird geprüft, ob der Versorgungsgrad oberhalb des festgelegten Bemessungskriteriums „vollstationäre Fallzahl/ Jahr“ liegt, für das der Schwellenwert von 30.000 festgelegt wurde.

Die Überschreitung des in der BSI-KritisV definierten Schwellwertes innerhalb einer Anlagenkategorie für eine Dienstleistung gilt als Entscheidungsgrundlage, ob es sich hierbei um eine kritische Dienstleistung im Sinne der Rechtsverordnung handelt.

Pflichten für Betreiber Kritischer Infrastrukturen  

Betreiber Kritischer Infrastrukturen haben eine Reihe von Maßnahmen zu ergreifen, um die Anforderungen des IT-Sicherheitsgesetztes zu erfüllen. Unsere KRITIS-Experten können Sie in jedem der nachfolgenden Bereiche gezielt unterstützen.

Betreiber einer Kritischen Infrastruktur haben nach § 8b (3) BSIG dem BSI eine Kontaktstelle zu benennen, über die sie jederzeit erreichbar sind. Jederzeit ist hier wörtlich als 24/7 Erreichbarkeit zu verstehen, wobei es jedem Unternehmen überlassen ist, wie dies sichergestellt wird. Als Kontaktstelle kann daher Funktionspostfach geeignet sein, um die jederzeitige Erreichbarkeit zu gewährleisten. Wir können Ihnen helfen, eine geeignete Lösung zu finden >.

Betreiber einer Kritischen Infrastruktur haben nach § 8b (4) BSIG dem BSI Störungen und IT-Sicherheitsvorfälle zu melden, die zu einem Ausfall oder einer Beeinträchtigung der kritischen Dienstleistung geführt haben oder führen können. Dazu müssen Betreiber i.d.R. einen spezifischen Meldeprozess etablieren. Wir unterstützen Sie gerne bei der Implementierung >.

Betreiber Kritischer Infrastrukturen sind nach § 8a (1) BSIG verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.

Damit KRITIS-Betreiber dazu in der Lage sind, die gemäß BSI-Gesetz gestellten Anforderungen zu erfüllen, wird in der Regel die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) umgesetzt. Wir beraten Sie gerne zur Absicherung Ihrer Kritischen Infrastruktur >.

Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen zur Absicherung nach §8a (1) auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Mit unserem umfangreichen Wissen aus Nachweisprüfungen in verschiedenen Branchen, können unsere Experten Sie gezielt bei der Vorbereitung auf die Nachweisprüfung gemäß §8a (3) BSI-Gesetz unterstützen >.

Ebenso können wir die Nachweisprüfung gemäß §8a (3) BSI-Gesetz als qualifizierte Prüfende Stelle für Sie durchführen. Unsere Experten verfügen über die Qualifikation als ISO 27001 Lead Auditoren und die zusätzlich Prüfverfahrenskompetenz für §8a (3) BSIG. Darüber hinaus haben wir umfangreiche Erfahrungen darin, die Prüfung anhand verschiedener Normen und Standards auszurichten. Dazu zählen die ISO 27001, der BSI IT-Grundschutz, die „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ durch das BSI, der IDW PH 9.860.2 „Prüfung bei Betreibern Kritischer Infrastrukturen“ und vom BSI anerkannte Branchenspezifische Sicherheitsstandards (B3S). 

Bis zum 31. März eines jeden Jahres muss die Ermittlung des Versorgungsgrades (Fallzahlen) für das zurückliegende Kalenderjahr erfolgen und gegen die Schwellwerte der BSI-KritisV geprüft werden.

Sollte sich herausstellen, dass die Schwellenwerte für weitere Anlagen Kritischer Infrastrukturen erreicht oder gar übertroffen wurden, muss eine selbstständige Meldung an das BSI erfolgen.

Sollte die Prüfung ergeben, dass der Schwellenwert einer bereits gemeldeten Anlage nicht mehr erreicht wird, so kann die Anlage beim BSI abgemeldet werden und unterliegt dann auch nicht mehr der Regulierung des Gesetzes. Wir unterstützen Sie gerne dabei, die Kennzahlen zum Versorgungsgrad zu erheben und auszuwerten >.

Best Practices für Betreiber Kritischer Infrastrukturen

Dank unserer Erfahrung mit der Umsetzung der Anforderungen des IT-Sicherheitsgesetzes für KRITIS-Betreiber in verschiedenen Branchen geben wir Ihnen nachfolgend eine Übersicht wichtiger Best Practices. Sollten Sie konkrete Fragen zu einem der Themen in diesem Bereich haben, kommen Sie gerne auf uns zu >.

KRITIS-Betreiber müssen alle Geschäftsprozesse, Anwendungen, IT-Systeme, Infrastrukturkomponenten und Schnittstellen, die im Geltungsbereichs der kritischen Dienstleistung liegen, in den KRITIS-Geltungsbereich aufnehmen. Dies gilt ebenfalls für Dienstleister und deren Prozesse, wenn diese für die Erbringung der kritischen Dienstleistung wesentlich sind.

Eine eindeutige Definition des KRITIS-Geltungsbereichs inklusive einer Zuordnung und Kennzeichnung der KRITIS-relevanten Prozesse und IT-Systeme kann Aufwände zur Umsetzung der Anforderungen des IT-SiG erheblich reduzieren.

Mit den durch das IT-SiG eingeführten Gesetzesänderungen wird neben den drei Grundwerten Verfügbarkeit, Integrität und Vertraulichkeit auch die Authentizität von Informationen als zusätzliches Schutzziel gemäß § 8a (1) BSIG definiert.

Im Rahmen der Schutzbedarfsfeststellung sollten bei den betroffenen Prozessen und IT-Komponenten die Anforderungen hinreichend berücksichtigt werden. Bei der Festlegung des Schutzbedarfs ist neben dem unternehmensspezifischen Interesse (Abwägung Risiko vs. Wirtschaftlichkeit) zusätzlich und vor allem das Gemeinwohl zu berücksichtigen. Daher sollte davon ausgegangen werden, dass die IT-Komponenten, welche kritische Dienstleistungen unterstützen, mindestens einen höheren Schutzbedarf bzgl. eines oder mehrerer der vier Schutzziele erhalten.

Die Risikobehandlung umfasst die Risikoanalyse und die Ableitung von Behandlungsoptionen und folgt grundsätzlich den dazu festgelegten Vorgaben im Unternehmen. Dabei ist für die kritischen Dienstleistungen der All-Gefahren-Ansatz zu berücksichtigen. Beim All-Gefahren-Ansatz geht es um die Reduzierung der Verwundbarkeit Kritischer Infrastrukturen gegenüber natürlichen Ereignissen und Unfällen sowie gegenüber terroristischen Anschlägen und kriminellen Handlungen.

Da auch das Gemeinwohl zu berücksichtigen ist, sind sollten identifizierte Risiken durch geeignete technische und organisatorische Maßnahmen reduziert werden. Eine dauerhafte Akzeptanz von Risiken oder deren Transfer zu einer Versicherung allein aus Gesichtspunkten der Wirtschaftlichkeit sind in der Regel keine zulässige Option.

Multinationale Konzerne werden oft vor besondere Herausforderung in der Umsetzung der Anforderungen des IT-Sicherheitsgesetzes gestellt. Standardisierte Prozesse des Informationssicherheitsmanagements können die Umsetzung von spezifischen nationalen Rechtsnormen dahingehend erschweren, dass bspw. Sicherheitsvorfälle zentral im Ausland bearbeitet werden. So kann es zu Sprachbarrieren und Verzögerungen in der Bearbeitungszeit meldepflichtiger Ereignisse kommen. Auch kann ein KRITIS-Geltungsbereich in einem weltweiten Assetmanagement oft nur schwer abgegrenzt werden.

Unser Leistungsspektrum umfasst u.a.:

  • Erstberatung und Durchführung der Betroffenheitsanalyse anhand einer Bewertung der Schwellwerte gemäß BSI-KritisV
  • Beratung zur Festlegung und Ausgestaltung des KRITIS-Geltungsbereichs
  • Beratung zur Einrichtung der Kontaktstelle und zur Umsetzung des KRITIS-Meldeprozesses sowie das Erstellen von internen Richtlinien und Verfahrensanweisungen
  • Beratung zur Umsetzung geeigneter KRITIS-spezifischer Sicherheitsmaßnahmen
  • Durchführung von Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter*innen im KRITIS-Geltungsbereich
  • Vorbereitung und Begleitung der §8a (3) BSIG-Nachweisprüfung, ggf. Unterstützung bei der Auswahl einer geeigneten Prüfenden Stelle
  • Durchführung der §8a (3) BSIG-Nachweisprüfung inklusive:
    • Überprüfung Ihres ISMS im Hinblick auf die Absicherung der kritischen Dienstleistung
    • Berichterstellung nach den Vorgaben des BSI und weitere Verbesserungsvorschläge für Ihr ISMS
    • Vorbereitung aller Unterlagen zur Erbringung des Nachweises gemäß §8a (3) BSIG
    • Beratung bei der Umsetzung der Sicherheitsmängel
    • Unterstützung bei Rückfragen und Kooperation mit dem BSI

 

Haben Sie noch Fragen?

Dann kontaktieren Sie gerne unsere RST-Ansprechpartner oder senden Sie uns eine Anfrage über das Kontaktformular:

Kontaktformular

 

Das könnte Sie auch interessieren:

Informationssicherheit - unsere Leistungen │ Schutzziele der Informationssicherheit  │ Unternehmensberatung 

 

Links zu den vollständigen relevanten Gesetzes- und Richtlinientexten sowie weiterführende Informationen:

  • Den vollständigen Text des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) finden Sie hier >
  • Den vollständigen Text der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union finden Sie hier >
  • Den vollständigen Text des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 finden Sie hier >
  • Mehr zu der NIS-Richtlinie finden Sie auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) >