Das RUN“-Dokument – steht für „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung“ – des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 2. Januar 2025 in Version 1.0 veröffentlicht (vgl. Mitteilung des BSI). Es bietet einen einheitlichen und strukturierten Ansatz, um die Umsetzung der Anforderungen aus § 8a BSIG zu bewerten. Dieser Blogbeitrag beschreibt die Kerninhalte, die praktische Bedeutung und die Auswirkungen des Dokuments für Betreiber Kritischer Infrastrukturen (KRITIS) sowie für Auditoren.

Hintergrund und Zielsetzung

Das RUN-Dokument wurde entwickelt, um die Transparenz und Vergleichbarkeit der Nachweiserbringung im Rahmen des § 8a BSIG zu erhöhen. Es ist ab dem 1. April 2025 verpflichtend für alle Nachweisberichte, die beim BSI eingereicht werden. Die zentrale Zielsetzung besteht darin:

  • Reife- und Umsetzungsgrade für Informationssicherheits-Managementsysteme (ISMS) und Business Continuity Managementsysteme (BCMS) zu standardisieren.
  • Eine vereinheitlichte Methodik für die Bewertung von Reife- und Umsetzungsgraden anzubieten.

Dabei ist das RUN-Dokument kein Ersatz für andere Standards oder Regelwerke wie ISO/IEC 27001, sondern ist als Ergänzung zur Konkretisierung der Anforderungen aus der BSI-KritisV zu verstehen.

Aufbau des RUN-Dokuments

Das RUN-Dokument ist modular aufgebaut, um sowohl KRITIS-Betreibern als auch Auditoren eine klare Orientierung zu bieten. Es beginnt mit allgemeinen Hinweisen zur Anwendung, die die Verbindlichkeit ab April 2025 sowie die Einbindung der § 8a BSIG-Anforderungen und der Orientierungshilfe zu Systemen zur Angriffserkennung (OH SzA) thematisieren.

Im zweiten Abschnitt werden die Themenbereiche in Bezug zu der Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 und Absatz 1a BSIG umzusetzenden Maßnahmen vorgestellt, die die Basis für die Bewertung bilden. Dazu gehören u. a. das ISMS, das BCMS sowie organisatorische, personelle, physische und technische Maßnahmen. Auch der Bereich Detektion und Reaktion, der die Systeme zur Angriffserkennung (SzA) umfasst, wird hier behandelt.

Ein zentraler Bestandteil des Dokuments ist die Reifegradbestimmung. Diese fokussiert sich auf die Managementsysteme ISMS und BCMS und unterscheidet fünf Stufen, von einem geplanten bis hin zu einem kontinuierlich verbesserten System. Ergänzt wird dies durch die Umsetzungsgradbestimmung, die speziell für verschiedene Maßnahmenkategorien entwickelt wurde. Technische Schutzmaßnahmen oder physische Sicherheitskonzepte können so spezifisch bewertet werden.

Abschließend bietet der Anhang ein detailliertes Mapping der spezifischen Anforderungen und deren Zuordnung zu den jeweiligen Reife- und Umsetzungsgraden.

Die Methodik der Reife- und Umsetzungsgradbewertung

Reifegradbestimmung bei Managementsystemen

Das RUN-Dokument beschreibt die fünf Reifegrade eines Managementsystems (ISMS / BCMS) in einer klar strukturierten Abfolge:

  • Reifegrad 1 (geplant) markiert den Ausgangspunkt, bei dem erste Planungen und Budgetierungen stattgefunden haben. Prozesse sind noch nicht umfassend definiert, und nur wenige Maßnahmen wurden eingeleitet.
  • Mit Reifegrad 2 (gesteuert) steigt die Organisation in eine kontrolliertere Phase ein. Prozesse werden dokumentiert, und erste Nachweise für die Umsetzung werden erbracht. Allerdings fehlt es oft noch an einem durchgängigen System.
  • Reifegrad 3 (etabliert) steht für ein etabliertes Managementsystem. Die Prozesse sind in der Organisation integriert, ihre Dokumentation ist abgeschlossen, und ein Großteil der vorgesehenen Maßnahmen ist effektiv umgesetzt.
  • Bei Reifegrad 4 (messbar) liegt der Fokus auf der Messbarkeit der Prozesse. Kennzahlen und KPIs ermöglichen eine ständige Überwachung und Bewertung, um die Wirksamkeit zu garantieren.
  • Schließlich zielt Reifegrad 5 (kontinuierlich verbessert) auf die kontinuierliche Verbesserung. Hierbei werden die Ergebnisse von Analysen und Audits genutzt, um Strategien und Prozesse nachhaltig zu optimieren.

Umsetzungsgradbestimmung bei Maßnahmen

Die Umsetzungsgradbewertung orientiert sich an der Vorgehensweise bei den SzA:

  • Umsetzungsgrad 1 (Planungsstadium ohne Umsetzung): Dieser Grad charakterisiert einen Zustand, in dem Maßnahmen oder Prozesse bisher nicht implementiert wurden. Es liegt lediglich eine konzeptionelle Planung oder Absichtserklärung vor, ohne dass konkrete Schritte zur Umsetzung unternommen worden sind.
  • Umsetzungsgrad 2 (Teilumsetzung von Einzelmaßnahmen): Auf dieser Stufe wurden Maßnahmen realisiert, die nur Teile eines Prozesses oder eines Managementsystems abdecken. Dabei handelt es sich häufig um isolierte Maßnahmen, wie z. B. Regelungen, Leitlinien, Strategien oder einzelne technische Maßnahmen. Diese tragen zu einem größeren Maßnahmenverbund bei, bilden jedoch noch keinen vollständigen Prozess ab.
  • Umsetzungsgrad 3 (Umsetzung eines gesamten Prozesses): Dieser Grad wird erreicht, wenn Maßnahmen vollständig implementiert wurden, die einen gesamten Prozess oder ein Managementsystem betreffen, bspw. Asset-Management, Incident-Management oder Continuity-Management. Die zuvor beschriebenen Einzelmaßnahmen (Umsetzungsgrad 2) stellen hierbei notwendige Bestandteile dar, die für die Erfüllung dieser Stufe vorausgesetzt werden.
  • Umsetzungsgrad 4 (Überprüfung und Messbarkeit): Hierbei liegt der Fokus auf der Implementierung von Maßnahmen, die die Überprüfung und Messbarkeit standardisierter Prozesse und Managementsysteme sicherstellen. Ein zentraler Aspekt dieses Grades ist die Evaluation der zuvor umgesetzten Prozesse. Um diesen Grad zu erreichen, ist die vollständige Umsetzung eines Prozesses (Umsetzungsgrad 3) erforderlich, da eine Messung und Bewertung nur auf dieser Grundlage möglich sind.
  • Umsetzungsgrad 5 (kontinuierliche Verbesserung): Dieser Grad beschreibt die Umsetzung von Maßnahmen, die sich auf die kontinuierliche Verbesserung der bestehenden Prozesse, Maßnahmen und Managementsysteme konzentrieren. Grundlage dieser Verbesserungen sind die Messergebnisse und Bewertungen, die im Rahmen des Umsetzungsgrades 4 erzielt wurden. Daher ist die vollständige Erfüllung der vorherigen Stufe eine notwendige Voraussetzung, um diesen Reifegrad zu erreichen.

Praktische Bedeutung für Betreiber und Auditoren

Das RUN-Dokument bietet sowohl KRITIS-Betreibern als auch Auditoren klare Vorteile. Betreiber erhalten durch die Anwendung des Dokuments eine strukturierte und nachvollziehbare Bewertung ihrer Sicherheitsmaßnahmen. Dies erleichtert nicht nur die Priorisierung notwendiger Verbesserungen, sondern schafft auch Transparenz über den aktuellen Sicherheitsstatus. Zusätzlich können Investitionen gezielt eingesetzt werden, um Schwachstellen zu beheben und die gesetzlichen Anforderungen zu erfüllen.

Für Auditoren stellt das RUN-Dokument eine erhebliche Klarifizierung dar. Die standardisierten Bewertungsgrundlagen vereinheitlichen die Vorgehensweise bei Prüfungen und sorgen dafür, dass Ergebnisse konsistenter und vergleichbarer sind. Die Ermittlung der Reifegrade ist dabei in verschiedenen Phasen des Prüfprozesses zu berücksichtigen:

  1. Planung: Die Reifegradmessung ist als zusätzlicher Prüfschritt oder Arbeitsvorgang in die KRITIS-Auditplanung einzubinden. Dies kann entweder als Ergänzung bestehender Prüfpunkte oder als separater Block erfolgen.
  2. Methodik: Die Ermittlung der Reifegrade ist in die Prüfmethodik zu integrieren, um eine nachvollziehbare und belastbare Feststellung der Reifegrade sicherzustellen.
  3. Prüfgrundlage: Die Reifegrade sowie deren Zuordnung zu spezifischen Anforderungen sind in die Prüfgrundlage fachlich einzubetten und ggf. den jeweiligen Anforderungen eindeutig zuzuordnen.
  4. Betreiber: Die im Rahmen der Prüfung ermittelten Reifegrade sind abschließend in strukturierter und formalisierter Weise mit dem geprüften Betreiber zu erörtern und in der Dokumentation der Prüfung angemessen festzuhalten.

Ausblick

Das RUN-Dokument des BSI ist ein bedeutender Schritt zur Standardisierung und Verbesserung der Prüfabläufe. Es hilft, Schwachstellen transparent zu machen und gezielte Verbesserungen einzuleiten. Für KRITIS-Betreiber und Auditoren stellt es eine wertvolle Orientierungshilfe dar. Mit der verpflichtenden Anwendung ab April 2025 wird sich zeigen, wie gut das Dokument in der Praxis greift und anwendbar ist.