E-Book, Deutsch, 402 Seiten
Reihe: Rheinwerk Computing
Naumann KRITIS
1. Auflage 2024
ISBN: 978-3-8362-9760-8
Verlag: Rheinwerk
Format: EPUB
Kopierschutz: 0 - No protection
Anforderungen, Pflichten, Nachweisprüfung
E-Book, Deutsch, 402 Seiten
Reihe: Rheinwerk Computing
ISBN: 978-3-8362-9760-8
Verlag: Rheinwerk
Format: EPUB
Kopierschutz: 0 - No protection
In diesem Leitfaden erfahren Sie, was Ihre Pflichten als Betreiber einer kritischen Infrastruktur sind, was Sie in der Nachweisprüfung erwartet und wie Sie sich ideal darauf vorbereiten. Auditoren hilft dieses Handbuch mit Infos zur zusätzlichen Prüfverfahrenskompetenz und Anleitungen zur eigenständigen Durchführung von KRITIS-Audits.
Jacqueline Naumann begleitet Sie durch die Verordnungen und Orientierungshilfen des BSIs und erklärt praxisnah, was hinter den Anforderungen steckt.
Aus dem Inhalt:
- Die Kritisverordnung
- Die IT-Sicherheitskataloge
- Die Unterstützung durch das BSI
- Die Orientierungshilfen des BSI
- Vorgaben an die Nachweisprüfung
- Ihre Pflichten als KRITIS-Betreiber
- Einen Branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen
- Planung der Nachweisprüfung durch den Betreiber
- Vorarbeiten für die Nachweisprüfung durch Prüfer
- Die Nachweisprüfung durchführen
- Aus der Praxis: Prüfung der eingereichten Nachweise durch das BSI
- Untersuchung zu Umfang und Komplexität der Nachweisprüfung
- Zusätzliche Prüfverfahrenskompetenz nach dem BSIG
Jacqueline Naumann ist studierte Informatikerin und war knapp zwanzig Jahre im IT-Umfeld beschäftigt, bevor sie sich 2015 als Trainer, Auditor und Berater für Informationssicherheit selbstständig machte. Sie schult seit 2016 Sicherheitsbeauftragte und Auditoren zur ISO/IEC 27001. Seit 2017 zertifiziert Naumann nach ISO/IEC 27001 und IT-Sicherheitskatalog für Zertifizierungsgesellschaften. Sie schult seit 2018 zur »Zusätzlichen Prüfverfahrenskompetenz für § 8a BSIG« und führt Nachweisprüfungen nach § 8a BSIG für unterschiedliche Sektoren durch. Im Oktober 2020 wurde Naumann erstmals vom BSI zum IT-Grundschutz-Berater zertifiziert. Seit 2021 ist sie geschäftsführende Gesellschafterin der iXactly GmbH in Dresden.
Autoren/Hrsg.
Weitere Infos & Material
Materialien zum Buch ... 13 Einleitung ... 15 Wie Ihnen dieses Buch helfen kann -- und was es nicht ist ... 17 Der Weg durch das Buch ... 19 Danksagung ... 23
Teil I. Gesetzliche Anforderungen und Begriffe im KRITIS-Umfeld ... 27 1. Geschichtliche Hintergründe zur Nachweisprüfung ... 29 1.1 ... UP KRITIS ... 42 1.2 ... Das IT-Sicherheitsgesetz von 2015 ... 47 1.3 ... Das Gesetz zur Umsetzung der NIS-Richtlinie ... 60 1.4 ... Das IT-Sicherheitsgesetz 2.0 ... 64 1.5 ... Die NIS-2-Richtlinie ... 72 1.6 ... Das BSI-Gesetz (BSIG) ... 75 2. Die Kritisverordnung ... 81 2.1 ... Kritische Infrastrukturen ... 81 2.2 ... Die Erarbeitung der Kritisverordnung ... 82 2.3 ... Begriffe und Definitionen ... 84 2.4 ... Sektoren nach dem BSIG ... 87 2.5 ... Anlagenkategorien für kritische Dienstleistungen ... 101 2.6 ... Anhänge zu den Sektoren ... 102 2.7 ... Welche Betreiber fallen unter das BSIG? ... 112 2.8 ... Unternehmen im besonderen öffentlichen Interesse (UBIs) ... 114 3. Die IT-Sicherheitskataloge (IT-SiKat) für den Sektor Energie ... 117 3.1 ... Die Bundesnetzagentur (BNetzA) ... 119 3.2 ... Das Energiewirtschaftsgesetz (EnWG) ... 120 3.3 ... Die IT-Sicherheitskataloge ... 122 3.4 ... Die ISO/IEC 27019 -- Steuerungssysteme der Energieversorgung ... 130
Teil II. Bedeutung und Verantwortung des BSI für Kritische Infrastrukturen ... 135 4. Die Unterstützung durch das BSI ... 137 4.1 ... Die Gewährleistungsverantwortung gegenüber der Bevölkerung ... 143 4.2 ... Die Meldestelle für Informationssicherheitsvorfälle ... 144 4.3 ... Erstellung von Lagebildern und Weiterleitung von Information an die KRITIS-Betreiber ... 145 4.4 ... Informations- und Meldeflüsse nach dem BSIG ... 152 5. Die Orientierungshilfen (OH) des BSI ... 159 5.1 ... OH zum Aufbau eines branchenspezifischen Sicherheitsstandards (B3S) ... 159 5.2 ... OH zu Systemen zur Angriffserkennung (SzA) ... 161 5.3 ... OH zu Nachweisen (für Prüfer) ... 163 6. Vorgaben an die Art und Weise von Nachweisprüfungen ... 169 6.1 ... Registrierung als KRITIS-Betreiber ... 171 6.2 ... Das Melde- und Informationsportal (MIP) ... 171 6.3 ... Der Nachweisprozess ... 176 6.4 ... Die Vorgabedokumente im Nachweisprozess ... 177
Teil III. Pflichten und Möglichkeiten des KRITIS-Betreibers ... 197 7. Ihre Pflichten als KRITIS-Betreiber ... 199 7.1 ... Der Geltungsbereich für die kritische Dienstleistung ... 200 7.2 ... Organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ... 210 7.3 ... Systeme zur Angriffserkennung (SzA) ... 215 7.4 ... Interne Audits ... 222 7.5 ... Melden von Informationssicherheitsvorfällen, Störungen und Ausfällen ... 223 7.6 ... Gemeinsame übergeordnete Ansprechstelle (GÜAS) ... 224 8. Einen branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen ... 227 8.1 ... Aufbau eines B3S mithilfe der OH B3S ... 227 8.2 ... Einen B3S beim BSI einreichen ... 232 8.3 ... Eignungsfeststellung des BSI ... 235 8.4 ... Aktuell veröffentlichte B3S ... 236 8.5 ... Vorteile und Nachteile vorhandener B3S ... 238
Teil IV. Die Nachweisprüfung gemäß § 8a Abs. 3 BSIG ... 239 9. Planung der Nachweisprüfung durch den Betreiber ... 241 9.1 ... Auswahl einer Prüfstelle ... 241 9.2 ... Anforderungen an eine prüfende Stelle ... 242 9.3 ... Eignung als prüfende Stelle ... 243
10. Vorarbeiten für die Nachweisprüfung durch Prüfer ... 247 10.1 ... Welche Prüfgrundlagen können wir einsetzen? ... 248 10.2 ... Kompetenzbereiche und Aufteilung im Prüfteam ... 257 10.3 ... Fachexperten auswählen und einsetzen ... 258 10.4 ... Die Prüfungsplanung durch die Prüfstelle ... 260 10.5 ... Auswahl von Stichproben ... 264 10.6 ... Berücksichtigung externer Dienstleister ... 266 10.7 ... Die Mängelkategorien des BSI ... 267
11. Die Nachweisprüfung durchführen ... 271 11.1 ... Audit von Managementsystemen nach der ISO 19011 ... 272 11.2 ... Arbeitsschutz für Auditoren ... 275 11.3 ... Remote-Audits ... 277 11.4 ... Mögliche Prüfmethoden ... 282 11.5 ... Verwendung bestehender Zertifikate ... 283 11.6 ... Prüfung der branchenspezifischen Maßnahmen ... 287 11.7 ... Prüfung des BCMS ... 291 11.8 ... Aktualität der BSI-Formulare und OHs beim Prüfteam ... 297
12. Nacharbeiten nach der Nachweisprüfung ... 301 12.1 ... Aufgaben des Prüfers ... 302 12.2 ... Aufgaben des Betreibers ... 316
13. Prüfung der eingereichten Nachweise durch das BSI ... 329 13.1 ... Nachforderung von Dokumenten ... 329 13.2 ... Eskalation bei Unvollständigkeit ... 331 13.3 ... Sonderprüfungen nach dem BSIG ... 332 13.4 ... Nachprüfung wegen zu kleinem Geltungsbereich ... 333 13.5 ... Bußgelder ... 334
Teil V. Aus der Praxis -- in die Praxis ... 339
14. Untersuchung zu Umfang und Komplexität der Nachweisprüfung ... 341 14.1 ... Die BSI-Studie zur Umsetzung der IT-Sicherheitsgesetze ... 342 14.2 ... Studie zu Nachweisprüfungen nach BSIG ... 344
15. Zusätzliche Prüfverfahrenskompetenz nach dem BSIG ... 377 15.1 ... Weiterbildung und schriftliche Prüfung ... 377 15.2 ... Überprüfung Ihrer Antworten ... 378
16. Fazit und Ausblick ... 385 Literaturverzeichnis ... 389 Index ... 395
Der Weg durch das Buch
Dieser Abschnitt soll Ihnen zeigen, wie Sie sich in diesem Buch zurechtfinden.
Das Buch ist in fünf Hauptthemen unterteilt und umfasst insgesamt sechzehn Kapitel. Den ersten Schwerpunkt des Buches legte ich auf die gesetzlichen Anforderungen für unsere Nachweisprüfungen und auf die Einführung von Begriffen und Regelwerken.
Als ich an diesem Buch arbeitete, entwickelte sich nach und nach ein Prozessverständnis, das ich als doppelten Reformprozess für Kritische Infrastrukturen bezeichne und Ihnen in Abbildung 1 zeige.
Anhand dieses Reformprozesses kann ich Ihnen gut erklären, welche Dinge es für Kritische Infrastrukturen und KRITIS-Betreiber bereits gibt und wo wir uns befinden.
Im ersten Teil des Buches starte ich auf der linken Seite von Abbildung 1, die ich öffentlichen Reformprozess nenne. Dort beginnt jeder Verbesserungskreislauf mit Artikelgesetzen, deren Paragrafen in Gesetze überführt werden und durch Verordnungen ihre Macht entfalten.
Abbildung 1 Doppelter Reformprozess für Kritische Infrastrukturen
Diese Kraft der Verordnungen schwappt hinüber in den wirtschaftlichen Verbesserungskreislauf, fordert von den Sektoren die unterschiedlichsten Umsetzungen und mündet in regelmäßige Nachweisprüfungen. Mein Ziel ist es, diesen fast letzten Aspekt im doppelten Reformprozess erfolgreich beenden zu können.
Sie erkennen: Anschließend müssen Entscheidungen getroffen werden, die bis in die öffentlichen Verbesserungen durch Evaluierungen führen können. Jeder Reformprozess kann für sich allein kontinuierlich verbessert werden. Doch neue Verordnungen zwingen die Wirtschaft zum Handeln, und Ergebnisse aus Nachweisprüfungen führen zu Entscheidungen auf Wirtschafts- und öffentlicher Seite.
Zu Teil I, »Gesetzliche Anforderungen und Begriffe im KRITIS-Umfeld«, gehören die ersten drei Kapitel.
Kapitel 1, »Geschichtliche Hintergründe zur Nachweisprüfung«, beginnt mit einem Rückblick auf die letzten fast fünfunddreißig Jahre. Ich beginne mit der Gründung des BSI, in der ich den späteren offiziellen Start aller Nachweisprüfungen für KRITIS-Betreiber in Deutschland sehe.
In Kapitel 2, »Die Kritisverordnung«, erläutere ich die Begriffe rund um Kritische Infrastrukturen und die BSI-Kritisverordnung. Die Kritisverordnung legt für Sie als Betreiber den Grundstein, um zu bestimmen, ob Sie als Kritische Infrastruktur gelten und Nachweise beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einreichen müssen oder nicht.
Kapitel 3, »Die IT-Sicherheitskataloge (IT-SiKat) für den Sektor Energie«, rückt für Betreiber und Prüfer im Sektor Energie die IT-Sicherheitskataloge und deren Verwendung in den Fokus. Mit diesem Kapitel endet der Rückblick und somit der erste Teil des Buches.
Den zweiten Schwerpunkt des Buches lege ich auf die Bedeutung und Verantwortung des BSI. Auch dieser Teil II des Buches umfasst drei Kapitel:
In Kapitel 4, »Die Unterstützung durch das BSI«, können Sie sich einen Überblick über die Aufgaben des BSI verschaffen. Ich stütze mich dabei auf die öffentlich zugänglichen Informationen und begrenze die Schwerpunkte auf eine Analyse der Sicherheitslage in Deutschland und die Warnung der Betreiber. Bei der Auswahl dieser Themen habe ich diejenigen Paragrafen aus dem BSI-Gesetz (BSIG) stärker gewichtet, die Aufgaben für das BSI definieren. Natürlich ist dies nur ein kleiner Ausschnitt aus den BSI-Aufgaben.
Nachdem das BSI drei Orientierungshilfen (OH) für Betreiber und Prüfer veröffentlichte, erläutere ich diese in Kapitel 5, »Die Orientierungshilfen (OH) des BSI«, um Ihnen Hilfestellungen und Orientierung im Nachweisprozess zu geben.
Das BSIG gibt dem BSI die Befugnisse, Vorgaben für die Art und Weise von Nachweisprüfungen zu definieren. In Kapitel 6, »Vorgaben an die Art und Weise von Nachweisprüfungen«, bereitete ich diese Vorgaben in Form von Dokumenten und Vorlagen für Sie auf, um Ihnen die Vorbereitung und Durchführung von Nachweisprüfungen zu vereinfachen. In diesem Kapitel beschäftigen wir uns auch mit den grundsätzlichen Anforderungen im Nachweisprozess (GAiN). Mit dem sechsten Kapitel endet der zweite Teil des Buches.
Den dritten Schwerpunkt des Buches legte ich auf die Pflichten und Möglichkeiten der KRITIS-Betreiber. Dieser Teil III, »Pflichten und Möglichkeiten des KRITIS-Betreibers«, umfasst zwei Kapitel.
In Kapitel 7, »Ihre Pflichten als KRITIS-Betreiber«, zeige ich Ihnen, welche Aufgaben auf Sie als Betreiber einer kritischen Infrastruktur zukommen. Wir sehen uns in diesem Kapitel beispielsweise die Bestimmung des Geltungsbereiches, das Risikomanagement, die Systeme zur Angriffserkennung und die Gemeinsame übergeordnete Ansprechstelle (GÜAS) genauer an.
Weil die Möglichkeit besteht, als Betreiber auch an einem Branchenspezifischen Sicherheitsstandard (B3S) mitzuwirken und diesen durch das BSI bestätigen zu lassen, zeige ich Ihnen in Kapitel 8, »Einen branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen«, wie ein B3S erstellt werden könnte und welche Schritte nötig sind, um ihn als offizielle Prüfgrundlage beim Betreiber einsetzen zu können. Mit dem achten Kapitel endet Teil III des Buches.
Kommen wir nun zum vierten Themenschwerpunkt des Buches, der eigentlichen Nachweisprüfung nach dem BSIG. Teil IV, »Die Nachweisprüfung gemäß § 8a Abs. 3 BSIG«, umfasst fünf Kapitel.
In Kapitel 9, »Planung der Nachweisprüfung durch den Betreiber«, gehe ich auf die Planung einer Nachweisprüfung durch die KRITIS-Betreiber ein, und in Kapitel 10, »Vorarbeiten für die Nachweisprüfung durch Prüfer«, zeige ich Ihnen, welche Schritte vor einer Nachweisprüfung durch die Prüfstelle umgesetzt werden müssen.
Zu diesen Vorarbeiten gehören beispielsweise die Auswahl und Definition einer Prüfgrundlage, die Bestimmung der notwendigen Prüfer-Kompetenzen, die Prüfplanung nach GAiN, die Auswahl von Stichproben und die Berücksichtigung von externen Dienstleistern.
Sind dann alle Vorarbeiten abgeschlossen, kann die Durchführung der Prüfung beginnen. Diese erläutere ich Ihnen in Kapitel 11, »Die Nachweisprüfung durchführen«. Zur Prüfdurchführung gehören beispielsweise Remote Audits, die unterschiedlichen Prüfmethoden, die Berücksichtigung bestehender ISO/IEC 27001-Zertifikate, die Prüfung branchenspezifischer Maßnahmen und des Notfallmanagements (BCMS). Auch die Aktualität der Nachweisdokumente besprechen wir im elften Kapitel.
In Kapitel 12, »Nacharbeiten nach der Nachweisprüfung«, geht es um die Arbeiten, die Prüfer und Betreiber nach einer abgeschlossenen Nachweisprüfung erledigen müssen. Die Nacharbeiten beginnen für Prüfer mit der Bewertung der ISMS- und BCMS-Reifegrade sowie mit den SzA-Umsetzungsgraden.
Zu den Nacharbeiten für Betreiber gehören die Umsetzungsplanung für Maßnahmen und die Selbsterklärung für die AWV-UBI (Außenwirtschaftsverordnung-UBI, UBI 1). Zuletzt erkläre ich in diesem Kapitel, wie Betreiber die Nachweise an das BSI übermitteln oder wie die Zertifizierungsstellen ihre Nachweise an die Bundesnetzagentur (BNetzA) weiterleiten.
In Kapitel 13, »Prüfung der eingereichten Nachweise durch das BSI«, zeige ich Ihnen, was Sie als Betreiber nach Einreichung Ihrer Unterlagen vom BSI möglicherweise noch an Eskalationen, Nachforderungen oder Sonderprüfungen erwarten dürfen. Auch auf Bußgelder kommen wir in diesem Kapitel zu sprechen.
Der Teil IV des Buches endet mit dem dreizehnten Kapitel und somit mit dem Abschluss der Nachweisprüfung.
Im fünften und letzten Teil des Buches lege ich den Schwerpunkt auf Erfahrungen aus der Praxis und wie Sie als zukünftige Nachweisprüfer in die Praxis hineinfinden. Teil V, »Aus der Praxis – in die Praxis«, umfasst drei Kapitel.
In Kapitel 14, »Untersuchung zu Umfang und Komplexität der Nachweisprüfung«, zeige ich Ihnen die Ergebnisse aus meiner Untersuchung zur Komplexität von Nachweisprüfungen im Sommer 2023. Dieses Kapitel beginnt mit einem Vergleich der BSI-Studie vom Winter/Frühjahr 2023 zur Umsetzung der IT-Sicherheitsgesetze mit den Ergebnissen meiner Studie.
Anschließend habe ich für alle, die zukünftig selbst Nachweisprüfungen durchführen möchten und den Kompetenznachweis dafür benötigen, in...
