Nachdem das IT-Sicherheitsgesetzes am 25.07.2015 in Kraft gesetzt wurde, waren wichtige Punkte noch nicht geklärt. Beispielsweise war noch nicht eindeutig, wer als Betreiber einer Kritischen Infrastruktur gilt und welche Form die nach §8a geforderte Nachweise haben werden.
Rechtsverordnungen
Da sich die kritischen Infrastrukturen über verschiedene Branchen verteilen, wurde diese zur besseren Strukturierung in Sektoren unterteilt. Anhand dieser Sektoren werden die geltenden Schwellwerte in der Rechtsverordnung definiert und veröffentlicht.
Somit wurde vorerst für fünf Sektoren (Korb 1) am 03.05.2016 die Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen bzw. BSI-Kritisverordnung (siehe Bundesanzeiger) verabschiedet. In den sogenannten ersten Korb fielen die die Sektoren Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung.
Ende Februar 2017 wurde ein Referentenentwurf zur Änderung der BSI-Kritisverordnung veröffentlicht, in dem die Schwellwerte der noch ausstehenden Sektoren (Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr) festgelegt werden. Da es sich um einen Referentenentwurf handelt, sollten die Schwellwerte nur als erster Indikator verstanden werden und vor der Umsetzung von Maßnahmen das in Kraft treten der geänderten Verordnung abgewartet werden.
Branchenspezifische Sicherheitsstandards
Zur Erfüllung der Anforderungen des IT-Sicherheitsgesetzt §8a kann gemäß § 8a (2) ein Branchenspezifischer Sicherheitsstandards (B3S) umgesetzt werden. In den B3S werden neben umzusetzenden Sicherheitsmaßnahmen auch festlegen, wie die Prüfung für Nachweise auszusehen haben.
Um sicherzustellen, dass die Maßnahmen im B3S zu einem angemessenen Sicherheitsniveau führen, hat das BSI zum einen eine Orientierungshilfe für § 8a (2) veröffentlicht und zum anderen müssen die B3S vom BSI freigegeben werden.
Aus Sicht des BSI soll die Erarbeitung eines B3S vorzugsweise in den Branchenarbeitskreisen (BAK) des UP KRITIS erfolgen. Zurzeit sind noch keine B3S vom BSI freigegeben, es können aber die zurzeit in Erstellung befindlichen B3S hier eingesehen werden.
Die Umsetzung eines B3S ist freiwillig. Niemand ist verpflichtet einen B3S für seine Branche einzureichen oder falls es bereits einen B3S gibt, diesen umzusetzen.
Erbringung des Nachweises nach § 8a BSIG
Auch die Möglichkeiten zur Nachweiserbringung wurden vom BSI mittlerweile durch die Orientierungshilfe § 8a (3) konkretisiert. Nachweise können auf Basis von drei Prüfgrundlagen erworben werden. Die Wahl der Prüfgrundlage steht den KRITIS-Betreibern frei:
- Prüfung auf Grundlage eines vom BSI anerkannten B3S. In Rahmen der B3S soll auch festgelegt werden, wie die Umsetzung des B3S genau nachgewiesen werden kann.
- Prüfung ohne Verwendung eines B3S. Hier entwickelt die prüfende Stelle ein geeignetes Prüfverfahren, z.B. auf Basis der Orientierungshilfe für § 8a (2), B3S für andere Branchen oder einschlägiger Standards wie ISO/IEC 27001 oder IT-Grundschutz
- Berücksichtigung vorhandener Prüfungen oder anderer Prüfgrundlagen. Hier kann eine bestehende Zertifizierung, z.B. nach ISO 27001/IEC nativ oder IT-Grundschutz als Grundlage dienen.
Seitdem in Kraft treten der Rechtsverordnung gilt eine zwei jährige Frist zur Umsetzung der Sicherheitsmaßnahmen. Ab dem 03.05.2018 müssen die betroffenen Unternehmen des Korb 1 die Umsetzung der Sicherheitsmaßnahmen gemäß § 8a nachweisen können. Für die Unternehmen des Korb 2 beginnt die Umsetzungsfrist mit dem in Kraft treten der Änderung der Rechtsverordnung.
Weitere Informationen zur Erbringung des Nachweises gemäß § 8a finde sich auch in einem Beitrag aus unserem Blog.
Prüfer gemäß §8a IT-Sicherheitsgesetz
In der Orientierungshilfe § 8a (3) wird festgelegt, dass Nachweise nur von Prüfern mit einer speziellen Prüfkompetenz für § 8a BSIG sowie ausreichender Erfahrung in den Bereichen Audit- und IT-Sicherheit der zu prüfenden Branch ausgestellt werden dürfen. Diese Zusatzqualifikation kann durch die die Teilnahme an einer 2-3 tägigen Schulung erworben werden. Das BSI hat auf seiner Webseite eine Liste von Schulungsanbietern veröffentlicht, die diese spezielle Schulung zusammen mit dem BSI in einem Workshop entwickelt haben.