Mit dem IT-Sicherheitsgesetz und dem IT-Sicherheitskatalog sind 2015 zwei gesetzliche Vorgaben für Kritische Infrastrukturen (KRITIS) vorgestellt worden, die nicht nur ähnlich heißen, sondern auch ähnliche Inhalte aufweisen, sich aber dennoch auch grundsätzlich unterscheiden. Aber der Reihe nach:
Das IT-Sicherheitsgesetz (IT-SiG) ändert das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) und verpflichtet Betreiber Kritischer Infrastrukturen, „angemessene organisatorische und technische Vorkehrungen […] zu treffen“ (§ 8a Abs. 1 BSIG) und diese „mindestens alle zwei Jahre […] nachzuweisen“ (§ 8a Abs. 3 BSIG). Konkrete Sicherheitsstandards sind mit dem Bundesamt für Sicherheit in der Informationssicherheit (BSI) „auf Antrag“ genauso abzustimmen wie die qualifizierten Prüfer und Auditoren.
Wer zu den Kritischen Infrastrukturen zählt?
Hier werden folgende Sektoren und Branchen genannt:
- Energie (Strom, Gas, Öl und Wärme): Stadtwerke, Kraftwerke, Stromnetze, Gasförderung, Gasnetz
- Ernährung: Nahrungsmittelherstellung, Lager, Verteilung
- Finanz- und Versicherungswesen: Banken, Versicherungen, Finanzdienstleister, Börsen
- Gesundheit: Krankenhäuser, Krankentransport, Arztpraxen, Apotheken
- Informationstechnik und Telekommunikation (IT, Telekommunikation und Internet): Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber
- Medien und Kultur: Zeitungen, Rundfunk, Fernsehen, Medien
- Staat und Verwaltung (Bundes-, Landes- und Kommunalverwaltung): Ministerien, Sicherheitsbehörden
- Transport und Verkehr: Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstraßen, Bahnbetreiber, Bahnnetze, öffentlicher Verkehr
- Wasser: Wasserversorgung, Wasserwerke, Wassernetze
Bei diesen Sektoren und Branchen sind ferner Schwellwerte zu berücksichtigen. Wer danach unter die Regelungen des IT-Sicherheitsgesetzes fällt, ist in der KRITIS-Verordnung („Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“) 2016 für die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation geregelt worden. Als grobe Orientierung für alle weiteren Branchen lässt sich sagen, dass ein Betreiber zu KRITIS zählt, wenn er mindestens 500.000 Personen versorgt. Mit dem Inkrafttreten der Verordnung am 03.05.2016 ist die 24-Monatsfrist angebrochen, die Betreibern zu Verfügung steht um angemessene Sicherheitsmaßnahmen zu etablieren (§ 8a Absatz 1 BSIG).
Diese „[…] angemessene[n] organisatorische[n] und technische[n] Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten und Prozesse“ müssen nicht nur „nach Stand der Technik“ getroffen werden, sondern auch gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachgewiesen werden.
Wie soll dieser Nachweis erbracht werden?
Um diese Frage zu beantworten, taucht ein neuer Begriff auf – die sogenannten „branchenspezifischen Sicherheitsstandards (B3S)“. An einem B3S können sich die Betreiber der Branche bei der Umsetzung von § 8a (1) BSIG und damit auch bei der Durchführung der zugehörigen Prüfung orientieren. Die Ziele sind klar: jede Branche hat offensichtlich spezifische Besonderheiten, die berücksichtigt werden sollen. Damit sollen diese Standards letztendlich die Realisierung von angemessenen Vorkehrungen unterstützen.
Dies gilt damit auch für die Ziele zum IT-Sicherheitskatalog (IT-SichKat) der Bundesnetzagentur. Denn hier ist ein branchenspezifischer Sicherheitsstandard – so wie im IT-Sicherheitsgesetz gefordert – definiert worden, wenngleich auf anderer gesetzlicher Grundlage: Der „IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz“ verpflichtet Netzbetreiber aus den Sparten Strom und Gas zur Einführung eines Informationssicherheits-Managementsystems (ISMS) für den Sicheren Netzbetrieb. Übrigens gilt der IT-Sicherheitskatalog für alle Netzbetreiber – ungeachtet der Schwellenwerte der KRITIS-VO.
Was wird nun noch kommen?
Auf Grundlage des Energiewirtschaftsgesetzes sind lt. §11 Abs. 1b EnWG Vorgaben für Betreiber von Energieanlagen zu erwarten. Hier wird die Bundesnetzagentur entsprechende Vorgaben erstellen.
Zur Zeit stehen noch keine B3S zur Verfügung. Die Erarbeitung der Standards läuft in den Branchen Lebensmittelhandel, Kreditwirtschaft, Wasser/Abwasser, IT und TK. Die datenschutz cert ist selber an einem Forschungsprojekt im Bereich Verkehr beteiligt (dieses Thema wird demnächst in einem Blog-Beitrag beleuchtet). Um „den Stand der Technik“ ohne die Benutzung eines B3S umzusetzen, soll der Leitfaden „Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG“ (Version 0.9.01 vom 20.10.2016) genutzt werden. Ein kurze Analyse des Leitfadens zeigt, dass ISO/IEC 27001 als der Standard für Informationssicherheits-Managementsysteme (ISMS) oder IT-Grundschutz des BSI als „aktueller Stand der Technik“ benutzt werden kann. Gerade, da sich branchenspezifische Erweiterungen gut hierauf aufbauen lassen. So wie etwa bei der ISO/IEC 27019 für Sicherheitsaspekte der Energiewirtschaft.
Verfolgen Sie auch unsere nächsten Blog-Beiträge – einerseits zu den Anforderungen und zur Frage, wer denn Prüfungen abnehmen darf.