Häufige Fragen und Antworten (FAQ) zu § 8a BSIG im Rahmen der Orientierungshilfe B3S V0.9 BSI-Entwurf Version 0.5.2, Stand: 30.11.2015 Die FAQ zu § 8a BSIG dient dazu, häufig wiederkehrende Fragen auf einfachem und schnellem Weg zu beantworten. B3S steht für Branchenspezifischer Sicherheitsstandard gemäß § 8a (2) BSIG. § 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann bei Sicherheitsmängeln verlangen: 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel. (4) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen. Version 0.5.2 Entwurf Stand: 30.11.2015 Seite 1 von 6 1 Wer muss § 8a (1) BSIG umsetzen? § 8a (1) BSIG muss von den Betreibern einer Kritischen Infrastruktur im Sinne des BSIG umgesetzt werden. Wer Betreiber einer Kritischen Infrastruktur im Sinne des BSIG ist, wird nach Verabschiedung der Rechtsverordnung (BSI-KritisV) feststellbar sein. Die BSI-KritisV wird messbare Kriterien festlegen. Wer diese Kriterien erfüllt, betreibt eine Kritische Infrastruktur im Sinne des Gesetzes. 2 Bis wann muss § 8a (1) BSIG umgesetzt sein? Die Pflicht zur Einhaltung von § 8a (1) BSIG (Vorkehrungen nach Stand der Technik), zu denen Betreiber Kritischer Infrastrukturen mit dem IT-Sicherheitsgesetz verpflichtet werden, besteht zwei Jahre nach Inkrafttreten der BSI-KritisV. 3 Welche kritischen Dienstleistungen (kDL) und welche Einrichtungen, Anlagen oder Teile davon sind von § 8a betroffen? Wer legt diese fest? Die kritischen Dienstleistungen (kDL) sowie Einrichtungen, Anlagen oder Teile davon, die unter § 8a fallen, werden in der BSI-KritisV festgelegt. 4 Müssen sich alle Betreiber einer Branche, die eine Kritische Infrastruktur im Sinne des BSIG betreiben, an einen vorhandenen B3S halten? Auch wenn ein B3S existiert, ist es für die Betreiber einer Kritischen Infrastruktur im Sinne des BSIG nicht verpflichtend diesen umzusetzen. Sie können die Anforderungen gemäß § 8a (1) BSIG auch auf andere Weise erfüllen. Ein B3S hilft dabei und gibt Rechtssicherheit. 5 Geht es bei den Anforderungen gemäß § 8a BSIG um Normal- oder um Krisenlagen? An erster Stelle geht es bei den Anforderungen gemäß § 8a BSIG darum, den normalen Betrieb einer Kritischen Infrastruktur abzusichern, also Normallagen. Der Reaktion auf besondere Ereignisse ist dabei ebenfalls Rechnung zu tragen (z. B. Fortsetzen des Betriebs bei Stromausfall). Krisenlagen müssen gemäß § 8a BSIG ausdrücklich dort adressiert werden, wo andere gesetzliche Vorgaben von den betroffenen Kritischen Infrastrukturen auch ein Funktionieren in Krisenlagen verlangen. Die entsprechenden, im B3S berücksichtigten rechtlichen Rahmenbedingungen sollten in einem B3S daher ausdrücklich benannt werden. 6 In der Orientierungshilfe zu einem B3S werden umfangreiche Anforderungen genannt. Wäre es nicht zweckmäßiger und einheitlicher, von allen Betreibern eine ISO-27001-Zertifizierung zu fordern? Das BSIG lässt den Betreibern bewusst viel Freiheit bei der Wahl der Umsetzung des geforderten Stands der Technik sowie bei der Art der Überprüfung. Ziel hierbei ist, auf die unterschiedlichsten, bei KRITIS-Betreibern bereits bestehenden Sicherheitsmechanismen aufbauen zu können. Eine Zertifizierung nach ISO-Standards ist nur ein möglicher Weg, um den erforderlichen Nachweis nach § 8a (3) BSIG zu erbringen. Version 0.5.2 Entwurf Stand: 30.11.2015 Seite 2 von 6 7 Ist eine ISO-27001-Zertifizierung dann zumindest ausreichend für den Nachweis nach § 8a (3)? Bei einer reinen ISO 27001-Zertifizierung ist nicht von vornherein klar, dass Scope und Maßnahmen geeignet sind. Deswegen reicht sie alleine nicht aus; wichtige Schutzziele für kritische Dienstleistungen könnten dabei theoretisch unberücksichtigt bleiben. Wer jedoch eine ISO-27001-Zertifizierung vorlegt und gleichzeitig nachweist, dass Scope und Maßnahmen geeignet sind, seine kritischen Dienstleistungen ausreichend zu schützen, hat die Voraussetzungen zur Erfüllung der Anforderungen gemäß § 8a (1) und (3) BSIG geschaffen. Ein möglicher Weg ist daher, einen B3S zu erstellen, der in Ergänzung zu einem ISO-Standard die notwendigen Rahmensetzungen gemäß der Orientierungshilfe vornimmt und dokumentiert. 8 Was genau ist im Rahmen § 8a unter „Stand der Technik“ zu verstehen? „Stand der Technik“ ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit Jahren bewährt, in Gesetzen auf den Stand der Technik abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den Stand der Technik allgemeingültig und abschließend zu beschreiben. In der Gesetzesbegründung des IT-SiG ist „Stand der Technik“ wie folgt beschrieben: „Auf Grund der weitreichenden gesellschaftlichen Auswirkungen ist bei den technischen und organisatorischen Vorkehrungen der Stand der Technik zu berücksichtigen. Stand der Technik in diesem Sinne ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Die Verpflichtung zur Berücksichtigung des Stands der Technik schließt die Möglichkeit zum Einsatz solcher Vorkehrungen nicht aus, die einen ebenso effektiven Schutz wie die anerkannten Vorkehrungen nach dem Stand der Technik bieten.“ Die Erstellung eines B3S ist eine Chance für eine Branche, ausgehend von der eigenen Expertise selber Vorgaben zum Stand der Technik zu formulieren. Version 0.5.2 Entwurf Stand: 30.11.2015 Seite 3 von 6 9 Die Orientierungshilfe fordert, dass Risiken in der Regel nicht einfach versichert oder getragen werden können. Andererseits bestehen immer Restrisiken und die umzusetzenden Maßnahmen sollen angemessen sein. Wie ist das miteinander zu vereinbaren? Risiken werden niemals auf Null reduziert werden können. Wenn Risiken kritische Dienstleistungen betreffen, von denen das Gemeinwohl abhängt, dürfen sie jedoch nicht einfach getragen oder transferiert werden, ohne dass vorher angemessene Maßnahmen zur Risikoverringerung getroffen wurden. Beispiel: Ein Geschäftsprozess sei mit einem Risiko behaftet, das eine vergleichsweise hohe Eintrittswahrscheinlichkeit hat. Trotzdem könnte sich der Betreiber entschließen, das Risiko zu tragen oder zu versichern, weil ihm die Gegenmaßnahmen beispielsweise zu umständlich sind. Wenn von diesem Geschäftsprozess jedoch das Gemeinwohl abhängt, kann erwartet werden, dass der Betreiber trotzdem zunächst angemessene Maßnahmen zur Verringerung des Risikos trifft und erst das danach noch verbleibende Restrisiko trägt oder versichert. 10 Eine einheitliche Beschreibung der Schutzziele, Bedrohungen, Risiken, Prozesse und Technologien aller Betreiber einer Branche in einem B3S erscheint kaum möglich. Beispielsweise ist bei den einzelnen Betreibern meistens unterschiedliche IT im Einsatz. Wie ist damit umzugehen? Eine Branche sollte zunächst die Schnittmenge bei ihren Schutzzielen, Bedrohungen, Risiken, Prozessen, Technologien, etc. klären. Die Überschneidungen können in einem B3S behandelt werden. Der B3S dient dann als Richtlinie für die Betreiber, die auf diese Weise ihr Wissen bündeln und voneinander profitieren. Der B3S stellt dabei auch abstrakte Anforderungen auf, die beispielsweise unabhängig von der im Einzelfall eingesetzten IT umgesetzt werden können. Sollte die Schnittmenge zwischen verschiedenen Betreibern im Einzelfall leer oder nahezu leer sein, lohnt es sich auch nicht, einen gemeinsamen B3S zu schreiben. 11 Wie oft muss ein B3S aktualisiert werden? Die Feststellung der Eignung eines B3S wird in der Regel für zwei Jahre erteilt. Spätestens nach zwei Jahren sollte überprüft werden, inwiefern die im B3S gemachten Annahmen und vorgenommenen Beschreibungen noch der aktuellen Bedrohungslage und dem aktuellen Stand der Technik entsprechen. 12 Müssen im B3S alle Anforderungen und Maßnahmen explizit ausformuliert werden? In einem B3S kann auf bereits existierende und gültige Vorgaben wie z. B. Standards, Normen, Regelwerke, bewährte Vorgehensweisen (Best Practices) oder sonstige Umsetzungshilfen verwiesen wird. Version 0.5.2 Entwurf Stand: 30.11.2015 Seite 4 von 6 13 Wie ist mit Dienstleistungen umzugehen, die an Dritte ausgelagert wurden? Der jeweilige Betreiber einer Kritischen Infrastruktur im Sinne des BSIG ist für die Umsetzung des § 8a (1) BSIG in der von ihm betriebenen Kritischen Infrastruktur verantwortlich. Lagert er Teile davon an Dritte aus, liegt die Verantwortung für die Umsetzung des § 8a (1) BSIG weiterhin bei ihm. Es empfiehlt sich hier, Umsetzungsverpflichtungen in die vertraglichen Vereinbarungen mit dem Dritten aufzunehmen. Gleiches gilt, wenn der Betreiber IT auslagert, die für den Betrieb der Kritischen Infrastruktur erforderlich ist. Der Bezug von sonstigen Dienstleistungen (Einkauf von Strom, Wasser, öffentlicher TK, etc.) gilt nicht als Auslagerung in diesem Sinne, sofern sie nicht selbst Teil der kritischen Dienstleistung ist. 14 Wer kann ein Sicherheitsaudit, eine Prüfung oder Zertifizierung nach § 8a (3) BSIG durchführen, und wie ist die Prüfung reguliert? Wer stellt letztlich die Eignung von Maßnahmen fest? Antworten rund um die Absätze (3) und (4) des § 8a werden zu einem späteren Zeitpunkt ergänzt. 15 Warum sollen Bedrohungen im B3S aufgelistet werden? Ändert sich die Bedrohungslage nicht zu schnell? In der Tat ändert sich die Bedrohungslage sehr schnell. Dennoch bleiben grundlegende Arten von Bedrohungen, wir nennen diese Bedrohungskategorien, über eine längere Zeit bestehen. Im B3S sollen die im B3S betrachteten und durch die Betreiber zu berücksichtigenden Bedrohungskategorien explizit aufgelistet und einer ersten Bewertung unterzogen werden. Das dient einerseits dem Zweck, dass die Betreiber, die den B3S umsetzen, bei ihrer Arbeit eine geeignete Grundlage haben und sichergestellt ist, dass alle branchenrelevanten Bedrohungen auch tatsächlich berücksichtigt werden. Andererseits stellt die explizite Benennung und Bewertung der Bedrohungskategorien im Zuge der Anerkennung des B3S klar, dass alle relevanten Bedrohungen einbezogen wurden. Selbstverständlich muss jeder Betreiber auch vorbereitet sein, jederzeit neue Bedrohungen zu erkennen und geeignete Maßnahmen hiergegen zu ergreifen. 16 Führt die Umsetzung von § 8a nicht zu finanziellen Aufwänden? Die Umsetzung des IT-SiG und insbesondere der Vorkehrungen nach Stand der Technik gemäß § 8a wird dort zu finanziellen Aufwänden führen, wo heute noch keine im Sinne des BSIG ausreichenden IT-Sicherheitsvorkehrungen getroffen sind. Diese Aufwände werden – im Rahmen der vom Gesetz geforderten Angemessenheitsprüfung – jedoch zur Erfüllung der Intention des Gesetzes durch die jeweiligen Betreiber getragen werden müssen. IT-Sicherheitsverantwortliche können notwendige Investitionen mit den Anforderungen des BSIG begründen. Version 0.5.2 Entwurf Stand: 30.11.2015 Seite 5 von 6 17 Kann das geforderte IT-Sicherheitsmanagement auch an ein anderes im Unternehmen bestehendes Sicherheitsmanagement und/oder an ein BCM gekoppelt werden? Die Integration des geforderten IT-Sicherheitsmanagement in bestehende Strukturen eines Betreibers ist eine geeignete Möglichkeit der Umsetzung. Wichtig ist, dass IT-Sicherheit adressiert bzw. der B3S umgesetzt wird. 18 In der Orientierungshilfe wird die Betrachtung im Sinne eines All-Gefahrenansatzes gefordert? Beschränkt sich das IT-SiG nicht auf IT? In der Tat steht beim IT-SiG die Informationstechnik im Mittelpunkt. Das IT-SiG geht jedoch bewusst nicht darauf ein, welche Auslöser zu Störungen oder Beeinträchtigungen der für die Kritischen Infrastrukturen essentiellen IT führen. Neben Cyber-Angriffen fallen somit auch sonstige informationstechnische Bedrohungen wie auch physische Bedrohungen als Auslöser von informationstechnischen Störungen in das vom IT-SiG abgedeckte Spektrum. Für die informationstechnische Absicherung ist also ein Allbedrohungs- bzw. Allgefahrenansatz notwendig. 19 Wie kann bei einem Antrag auf Anerkennung die Erfüllung der Anforderungen nachvollziehbar dargelegt werden? Um prüfen zu können, ob ein B3S den Anforderungen entspricht, muss er entweder der vorgegebenen Struktur folgen oder es muss eindeutig nachvollziehbar sein, wie der B3S die Anforderungen erfüllt. Eine „Mapping-Tabelle“ ist eine Möglichkeit, diese Nachvollziehbarkeit zu gewährleisten. In jedem Fall muss ein Bezug zwischen den Anforderungen und den entsprechenden Stellen im B3S hergestellt werden. Ein Muster dieser Mapping-Tabelle wird als Anlage zum Antragsformular (Anerkennung eines B3S) zur Verfügung gestellt. Version 0.5.2 Entwurf Stand: 30.11.2015 Seite 6 von 6
© Copyright 2024 ExpyDoc