KRITIS

In diesem Leitfaden erfahren Sie, was Ihre Pflichten als Betreiber einer kritischen Infrastruktur sind, was Sie in der Nachweisprüfung erwartet und wie Sie sich ideal darauf vorbereiten. Auditoren hilft dieses Handbuch mit Infos zur zusätzlichen Prüfverfahrenskompetenz und Anleitungen zur eigenständigen Durchführung von KRITIS-Audits. Jacqueline Naumann begleitet Sie durch die Verordnungen und Orientierungshilfen des BSIs und erklärt praxisnah, was hinter den Anforderungen steckt.

Für IT-Verantwortliche und Auditoren

Materialien zum Buch ... 13Einleitung ... 15Wie Ihnen dieses Buch helfen kann -- und was es nicht ist ... 17Der Weg durch das Buch ... 19Danksagung ... 23Teil I. Gesetzliche Anforderungen und Begriffe im KRITIS-Umfeld ... 271. Geschichtliche Hintergründe zur Nachweisprüfung ... 291.1 ... UP KRITIS ... 421.2 ... Das IT-Sicherheitsgesetz von 2015 ... 471.3 ... Das Gesetz zur Umsetzung der NIS-Richtlinie ... 601.4 ... Das IT-Sicherheitsgesetz 2.0 ... 641.5 ... Die NIS-2-Richtlinie ... 721.6 ... Das BSI-Gesetz (BSIG) ... 752. Die Kritisverordnung ... 812.1 ... Kritische Infrastrukturen ... 812.2 ... Die Erarbeitung der Kritisverordnung ... 822.3 ... Begriffe und Definitionen ... 842.4 ... Sektoren nach dem BSIG ... 872.5 ... Anlagenkategorien für kritische Dienstleistungen ... 1012.6 ... Anhänge zu den Sektoren ... 1022.7 ... Welche Betreiber fallen unter das BSIG? ... 1122.8 ... Unternehmen im besonderen öffentlichen Interesse (UBIs) ... 1143. Die IT-Sicherheitskataloge (IT-SiKat) für den Sektor Energie ... 1173.1 ... Die Bundesnetzagentur (BNetzA) ... 1193.2 ... Das Energiewirtschaftsgesetz (EnWG) ... 1203.3 ... Die IT-Sicherheitskataloge ... 1223.4 ... Die ISO/IEC 27019 -- Steuerungssysteme der Energieversorgung ... 130Teil II. Bedeutung und Verantwortung des BSI für Kritische Infrastrukturen ... 1354. Die Unterstützung durch das BSI ... 1374.1 ... Die Gewährleistungsverantwortung gegenüber der Bevölkerung ... 1434.2 ... Die Meldestelle für Informationssicherheitsvorfälle ... 1444.3 ... Erstellung von Lagebildern und Weiterleitung von Information an die KRITIS-Betreiber ... 1454.4 ... Informations- und Meldeflüsse nach dem BSIG ... 1525. Die Orientierungshilfen (OH) des BSI ... 1595.1 ... OH zum Aufbau eines branchenspezifischen Sicherheitsstandards (B3S) ... 1595.2 ... OH zu Systemen zur Angriffserkennung (SzA) ... 1615.3 ... OH zu Nachweisen (für Prüfer) ... 1636. Vorgaben an die Art und Weise von Nachweisprüfungen ... 1696.1 ... Registrierung als KRITIS-Betreiber ... 1716.2 ... Das Melde- und Informationsportal (MIP) ... 1716.3 ... Der Nachweisprozess ... 1766.4 ... Die Vorgabedokumente im Nachweisprozess ... 177Teil III. Pflichten und Möglichkeiten des KRITIS-Betreibers ... 1977. Ihre Pflichten als KRITIS-Betreiber ... 1997.1 ... Der Geltungsbereich für die kritische Dienstleistung ... 2007.2 ... Organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ... 2107.3 ... Systeme zur Angriffserkennung (SzA) ... 2157.4 ... Interne Audits ... 2227.5 ... Melden von Informationssicherheitsvorfällen, Störungen und Ausfällen ... 2237.6 ... Gemeinsame übergeordnete Ansprechstelle (GÜAS) ... 2248. Einen branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen ... 2278.1 ... Aufbau eines B3S mithilfe der OH B3S ... 2278.2 ... Einen B3S beim BSI einreichen ... 2328.3 ... Eignungsfeststellung des BSI ... 2358.4 ... Aktuell veröffentlichte B3S ... 2368.5 ... Vorteile und Nachteile vorhandener B3S ... 238Teil IV. Die Nachweisprüfung gemäß
8a Abs. 3 BSIG ... 2399. Planung der Nachweisprüfung durch den Betreiber ... 2419.1 ... Auswahl einer Prüfstelle ... 2419.2 ... Anforderungen an eine prüfende Stelle ... 2429.3 ... Eignung als prüfende Stelle ... 24310. Vorarbeiten für die Nachweisprüfung durch Prüfer ... 24710.1 ... Welche Prüfgrundlagen können wir einsetzen? ... 24810.2 ... Kompetenzbereiche und Aufteilung im Prüfteam ... 25710.3 ... Fachexperten auswählen und einsetzen ... 25810.4 ... Die Prüfungsplanung durch die Prüfstelle ... 26010.5 ... Auswahl von Stichproben ... 26410.6 ... Berücksichtigung externer Dienstleister ... 26610.7 ... Die Mängelkategorien des BSI ... 26711. Die Nachweisprüfung durchführen ... 27111.1 ... Audit von Managementsystemen nach der ISO 19011 ... 27211.2 ... Arbeitsschutz für Auditoren ... 27511.3 ... Remote-Audits ... 27711.4 ... Mögliche Prüfmethoden ... 28211.5 ... Verwendung bestehender Zertifikate ... 28311.6 ... Prüfung der branchenspezifischen Maßnahmen ... 28711.7 ... Prüfung des BCMS ... 29111.8 ... Aktualität der BSI-Formulare und OHs beim Prüfteam ... 29712. Nacharbeiten nach der Nachweisprüfung ... 30112.1 ... Aufgaben des Prüfers ... 30212.2 ... Aufgaben des Betreibers ... 31613. Prüfung der eingereichten Nachweise durch das BSI ... 32913.1 ... Nachforderung von Dokumenten ... 32913.2 ... Eskalation bei Unvollständigkeit ... 33113.3 ... Sonderprüfungen nach dem BSIG ... 33213.4 ... Nachprüfung wegen zu kleinem Geltungsbereich ... 33313.5 ... Bußgelder ... 334Teil V. Aus der Praxis -- in die Praxis ... 33914. Untersuchung zu Umfang und Komplexität der Nachweisprüfung ... 34114.1 ... Die BSI-Studie zur Umsetzung der IT-Sicherheitsgesetze ... 34214.2 ... Studie zu Nachweisprüfungen nach BSIG ... 34415. Zusätzliche Prüfverfahrenskompetenz nach dem BSIG ... 37715.1 ... Weiterbildung und schriftliche Prüfung ... 37715.2 ... Überprüfung Ihrer Antworten ... 37816. Fazit und Ausblick ... 385Literaturverzeichnis ... 389Index ... 395