Mindestanforderungen der KRITIS-Verordnung
- Umsetzung und Nachweis von technischen und organisatorischen Maßnahmen nach dem Stand der Technik
- Erhöhte Sicherheitsanforderungen zum Schutz der eingesetzten Infrastruktur
- Meldepflicht im Falle erheblicher Störungen der IT-Sicherheit
Kontrollbesuche durch das BSI sind jederzeit möglich und KRITIS-Betreiber müssen entsprechende Audits, Prüfungen und Zertifizierungen regelmäßig nachweisen können. Zudem definiert die europäische NIS-Richtlinie erweiterte Melde- und Nachweispflichten.
Mit fuentis sind Sie in der Lage KRITIS-relevante Anlagen darzustellen, Prüfprozesse zu implementieren und geforderte Sicherheitsstandards zu überwachen. Mit fuentis sind KRITIS-Betreiber jederzeit richtlinienkonform auskunftsfähig.
Vorteile der fuentis Suite für KRITIS-Betreiber
Das ISMS Modul der fuentis Suite entspricht sowohl den Anforderungen des BSI IT-Grundschutzes und dessen Umsetzung als auch der nativen ISO 27001. Der ganzheitliche Ansatz des integrierten Managementsystems ermöglicht speziell für KRITIS-Organisationen eine Fülle von Management-, Prüf- und Sicherheitsfunktionen, die kein anderes ISMS außer fuentis zu bieten hat:
- Unterstützung von branchenspezifischen IT-Sicherheitsstandards (wie z.B. Wasser/Abwasser (B3S)
- Sektorspezifische Abbildung der Assets in der CMDB
- Sektorspezifische Dokumentenlenkung
- Umsetzung eines Netzstrukturplanes
- Integration des Notfallmanagements (BCM)
- Umsetzung eines Technischen Sicherheitsmanagements (TSM)
- Aufnahme und Verfolgung von Sicherheitsvorfällen
Verordnung KRITIS-V – Wer ist betroffen?
In der Verordnung KRITIS-V beschreibt das BSI welche Anlagen (und Systeme) in den jeweiligen Sektoren als kritisch gelten und ist berechtigt, von den jeweiligen Betreibern einen Nachweis über den Schutz ihrer Informationstechnik zu fordern.
Die damit verbundenen Meldepflichten gelten künftig auch für Unternehmen, die von besonderem öffentlichen Interesse sind:
- Unternehmen der Rüstungsindustrie und Verschlusssachen-IT
- Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben
- Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen.
Die Methodik zur Bestimmung dieser Infrastrukturen erfolgt anhand der Verordnung mehrstufig.
Sie definiert:
- Begrifflichkeiten wie Versorgungsgrad oder Betreiber,
- beschreibt sektorspezifische sowie die als kritisch einzuordnenden Dienstleistungen und nennt abschließend Schwellenwerte eines jeweiligen Sektors, ab denen Leistungen als kritisch gelten. Die Anhänge der KRITIS-Verordnung beinhalten tabellarische Angaben für Anlagekategorien und Schwellenwerte sowie Berechnungsformeln zur Ermittlung der Schwellenwerte.
- Für die Sektoren Energie und Wasser werden dabei Angaben sowohl bezüglich der Versorgungs- als auch der Fördermengen gemacht.
- Der Sektor Informationstechnik und Telekommunikation beinhaltet Angaben zur Daten- und Sprachübermittlung sowie zur Datenverarbeitung und -speicherung.
- Der Sektor Ernährung enthält Schwellenwerte zu den Bereichen der Lebensmittelversorgung, -produktion, -distribution und -bereitstellung.
Die Sektoren Verkehr und Transport, Finanz- und Versicherungswesen sowie Gesundheit erhalten ihre sektorspezifischen Definitionen erst mit dem zweiten Teil der KRITIS-Verordnung.
Zudem gelten gewisse Schwellenwerte, ab denen ein Unternehmen der oben genannten Sektoren tatsächlich als KRITIS-Unternehmen eingestuft wird. So fallen bei Krankenhäusern beispielsweise alle Organisationen, die mindestens 30.000 vollstationäre Fälle pro Jahr dokumentieren, unter die KRITIS-Verordnung.
Bemessungskriterien und
Schwellenwerte der Anlagekategorien
Zum Vergrößern bitte Grafik rechts anklicken (PDF)...
KRITIS-Verordnung: Welche Anforderungen sind umzusetzen?
Am 23. März 2020 hat das BSI die „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ veröffentlicht. Der Anforderungskatalog stellt zwar kein zwingendes Kriterium dar, bietet aber allen Betreibern (und Prüfern) von kritischer Infrastruktur einen konkreten Rahmen zur Auswahl, Umsetzung und Prüfung der Sicherheitsvorkehrungen.
Themenbereiche im Anforderungskatalog KRITIS C5:
- Informationssicherheitsmanagementsystem (ISMS)
- Asset Management
- Risikoanalysemethode
- Continuity Management
- Technische Informationssicherheit
- Personelle und organisatorische Sicherheit
- Bauliche/physische Sicherheit
- Vorfallserkennung und -bearbeitung
- Überprüfung im laufenden Betrieb
- Externe Informationsversorgung und Unterstützung
- Lieferanten, Dienstleister, Dritte
- Meldewesen
Der Anforderungskatalog wurde in Zusammenarbeit mit dem Fachausschuss für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer (IDW) auf Basis des Anforderungskatalogs Cloud Computing (C5) entwickelt.
Branchenspezifische Sicherheitsstandards (B3S) mit dem fuentis ISMS Modul abbilden
Einzelne Sektoren wie z.B. Gesundheits-, Wasser- und Energieversorgung haben in der Vergangenheit eigene branchenspezifische Sicherheitsstandards (B3S) mit dem BSI erarbeitet. Sämtliche B3S können in der fuentis Suite (mit dem fuentis ISMS Modul) abgebildet werden.
Die Integration in passende Managementsysteme (wie Informationssicherheits-, Notfallmanagement, Datenschutzmanagement) ist möglich und oft wirtschaftlich sinnvoll. Dabei können die Aufgaben verschiedener Managementsysteme auch in ein gemeinsames Managementsystem integriert werden.
Welche B3S Branchenspezifischen Sicherheitsstandards stehen zur Verfügung?
- Branchenstandard IT-Sicherheit Wasser/Abwasser (Version 2.0)
- Sicherheitsstandard für die Ernährungsindustrie und B3S für den Lebensmittelhandel
- B3S zur IT-Sicherheit im Sektor Informationstechnik und Telekommunikation
- Branchenspezifischer Sicherheitsstandard für die Verteilung von Fernwärme (B3S Vv Fw)
- B3S für Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung (B3S Aggregatoren)
- Branchenspezifischer Sicherheitsstandard Pharma
- Branchenspezifischer Sicherheitsstandard für die Laboratoriumsdiagnostik
- B3S für die Gesundheitsversorgung im Krankenhaus
- B3S für die Verkehrssteuerungs- und Leitsysteme im kommunalen Straßenverkehr
- B3S für gesetzliche Kranken- und Pflegeversicherer B3S-GKV/PV (Ersatzkassen) Version 1.2
- B3S Allianz Deutschland AG 1.0
Folgende B3S befinden sich noch in der Erstellung bzw. im Verfahren der Eignungsprüfung:
- B3S im Luftverkehr; eingereicht vom Bundesverband der Deutschen Luftverkehrswirtschaft e.V. (BDL)
- B3S für Betreiber des ÖPNV und des Schienenverkehrs der Eisenbahn; eingereicht vom Verband Deutscher Verkehrsunternehmen e.V. (VDV)
Da die eingesetzte Technik in den KRITIS-Sektoren von Branche zu Branche sehr unterschiedlich ist, hat das BSI jeder Branche freigestellt, einen oder mehrere Branchenspezifische Sicherheitsstandards (B3S) zu definieren, um den aktuellen Stand der Technik in ihrer Branche festzuhalten. Daher können auch mehrere B3S für die gleiche Branche erarbeitet werden.
Was bedeutet KRITIS?
Seit dem 25. Juli 2015 gilt das IT-Sicherheitsgesetz (IT-SiG) zur Erhöhung des Sicherheitsniveaus informationstechnischer Systeme. Am 3. Mai 2016 trat der erste Teil der BSI KRITIS-Verordnung in Kraft, der die Organisationen festlegt, die dem IT-Sicherheitsgesetz unterliegen. Mit der Änderungsverordnung vom 30. Juni 2017 wurden weitere Sektoren und Branchen definiert, des Weiteren ist hierin die Umsetzung des IT-Sicherheitsgesetzes für KRITIS-Betreiber näher spezifiziert.
Ende 2020 hat die Bundesregierung ein zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme beschlossen. Der Entwurf des IT-SiG 2.0 (bedarf noch der Verabschiedung durch den Bundesrat) enthält u.a. folgende Regelungen:
- Weitreichende Befugnisse des BSI
- Stärkung des Verbraucherschutzes
- Stärkung der unternehmerischen Vorsorgepflichten
- Stärkung der staatlichen Schutzfunktion
Hintergrund der KRITIS-Verordnung
Ob Strom oder Trinkwasser, Verkehr oder Ernährung – Beeinträchtigungen, nachhaltige Störungen oder gar Ausfälle von Versorgungsleistungen und Dienstleistungen im Bereich der Kritischen Infrastrukturen (KRITIS) könnten dramatische Folgen für Deutschlands Wirtschaft und Gesellschaft haben. Die Sicherheit und Verfügbarkeit der informationstechnischen Systeme in KRITIS-Organisationen ist daher für das staatliche Gemeinwesen von zentraler Bedeutung.
KRITIS-Betreiber müssen
- IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ einsetzen und erhalten (§ 8a Abs. 1 BSI-Gesetz) und
- dem BSI erhebliche IT-Störungen melden (§ 8b Abs. 4 BSI-Gesetz).
Erweiterte Pflichten für KRITIS-Betreiber durch NIS-Richtlinie
Seit dem 9. Mai 2018 ist die NIS-Richtlinie – „Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ rechtskräftig. Dabei werden zusätzliche Einrichtungen und Akteure aus dem Sektor „Digitale Dienste“ in die Pflicht genommen.
Die NIS-Richtlinie definiert auch zusätzliche Anforderungen hinsichtlich der Meldepflichten bei IT-Störungen sowie erweiterte Nachweispflichten für KRITIS-Betreiber. Im Rahmen neuer Befugnisse werden z.B. Kontrollbesuche durch das BSI auch dann möglich sein, wenn bis dato keine Mängel nachgewiesen worden sind. KRITIS-Betreiber müssen also in der Lage sein, entsprechende Audits, Prüfungen oder Zertifizierungen jederzeit nachweisen zu können.
B3S in der Anwendung: Branchenspezifische Sicherheitsstandards in der Gesundheitsversorgung (Klinikum) mit fuentis abbilden und umsetzen
Für Informationssicherheit in KRITIS-Kliniken müssen Klinikbetreiber ihre IT-Sicherheit nach dem Stand der Technik umsetzen und dem BSI gegenüber regelmäßig nachweisen. Auch ein angemessenes Datenschutzniveau gemäß DSGVO ist auf Anfrage von Aufsichtsbehörden aktiv nachzuweisen. Hierzu ist ein geeignetes Managementsystem sinnvoll. Sei es in Form eines Informationssicherheits-Managementsystem (ISMS), eines Meldewesens bzw. Krisenmanagements oder eines integrierten Managementsystems, das alle Disziplinen berücksichtigt.
Mit dem fuentis ISMS Modul basiert der Sicherheitsstandard für die Gesundheitsversorgung auf ISO/IEC 27001, in der die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS normiert sind. Alternativ wäre ein Vorgehen nach ISO/IEC 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) möglich.
Zwecks Nachweis gegenüber dem BSI, können KRITIS-Kliniken auf den von der Deutschen Krankenhausgesellschaft (DKG) entwickelten branchenspezifischen Sicherheitsstandard (B3S) für die medizinische Versorgung zurückgreifen.
Bei der Festlegung des Geltungsbereichs sollten die Kerngeschäftsprozesse zur medizinischen Versorgung von Patienten als Orientierung (Aufnahme, Diagnose, Therapie, Pflege, Entlassung) dienen. Sämtliche Richtlinien, Prozessbeschreibungen und Dokumentationen sind auf diesen Geltungsbereich abzustimmen.
ISMS-Risikomanagement nach B3S-Katalog Gesundheitsversorgung
Die gesetzlich verankerten Schutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von Informationen, Geschäftsprozessen und Assets lassen sich nur durch ein organisatorisch verankertes ISMS-Risikomanagement realisieren.
Der branchenspezifische Sicherheitsstandard sieht insgesamt 37 Anforderungen an ein ISMS-Risikomanagement vor. Bei der Gefährdungsanalyse werden sämtliche Punkte erfasst, die den Krankenhausbetrieb beeinträchtigen können. Aufgelistet werden 40 verschiedene Bedrohungsszenarien, Schwachstellen und mögliche Gefahren wie beispielsweise Elementarschaden und Stromausfall, Cyber-Attacken oder menschliche Fehler.
Der B3S-Katalog empfiehlt insgesamt 168 Maßnahmen, kategorisiert in Muss-, Soll- und Kann-Anforderungen. Somit kann das Regelwerk sowohl als Leitfaden für die Praxis dienen wie auch als Grundlage für Kontrollen.
Geltungsbereiche, Infrastrukturen bzw. Assets und die Berücksichtigung der Anforderungen, Gefährdungsanalysen und empfohlenen Maßnahmen (Kontrollen) lassen sich optimal mit dem ISMS-Modul der fuentis Suite abbilden.
Fördermittel KHZG u.a. für ISMS in Krankenhäusern
Mit dem Krankenhauszukunftsgesetz (KHZG) wurde 2020 ein milliardenschweres Investitionsprogramm ins Leben gerufen, um digitale Infrastrukturen in Krankenhäusern zu verbessern und ihre IT-Sicherheit zu erhöhen. Gemäß KHZG sind mindestens 15 Prozent der gewährten Fördermittel zur Verbesserung der Informationssicherheit bzw. Einführung eines ISMS zu verwenden.
Die fuentis AG ist zertifizierter IT-Dienstleister nach dem KHZG (Krankenhauszukunftsgesetz).
Kontaktieren Sie uns gerne für weitere Informationen hierzu.
