KRITIS (eBook)

Der Weg durch das Buch

Dieser Abschnitt soll Ihnen zeigen, wie Sie sich in diesem Buch zurechtfinden.

Das Buch ist in fünf Hauptthemen unterteilt und umfasst insgesamt sechzehn Kapitel. Den ersten Schwerpunkt des Buches legte ich auf die gesetzlichen Anforderungen für unsere Nachweisprüfungen und auf die Einführung von Begriffen und Regelwerken.

Als ich an diesem Buch arbeitete, entwickelte sich nach und nach ein Prozessverständnis, das ich als doppelten Reformprozess für Kritische Infrastrukturen bezeichne und Ihnen in Abbildung 1 zeige.

Anhand dieses Reformprozesses kann ich Ihnen gut erklären, welche Dinge es für Kritische Infrastrukturen und KRITIS-Betreiber bereits gibt und wo wir uns befinden.

Im ersten Teil des Buches starte ich auf der linken Seite von Abbildung 1, die ich öffentlichen Reformprozess nenne. Dort beginnt jeder Verbesserungskreislauf mit Artikelgesetzen, deren Paragrafen in Gesetze überführt werden und durch Verordnungen ihre Macht entfalten.

Abbildung 1     Doppelter Reformprozess für Kritische Infrastrukturen

Diese Kraft der Verordnungen schwappt hinüber in den wirtschaftlichen Verbesserungskreislauf, fordert von den Sektoren die unterschiedlichsten Umsetzungen und mündet in regelmäßige Nachweisprüfungen. Mein Ziel ist es, diesen fast letzten Aspekt im doppelten Reformprozess erfolgreich beenden zu können.

Sie erkennen: Anschließend müssen Entscheidungen getroffen werden, die bis in die öffentlichen Verbesserungen durch Evaluierungen führen können. Jeder Reformprozess kann für sich allein kontinuierlich verbessert werden. Doch neue Verordnungen zwingen die Wirtschaft zum Handeln, und Ergebnisse aus Nachweisprüfungen führen zu Entscheidungen auf Wirtschafts- und öffentlicher Seite.

Zu Teil I, »Gesetzliche Anforderungen und Begriffe im KRITIS-Umfeld«, gehören die ersten drei Kapitel.

Kapitel 1, »Geschichtliche Hintergründe zur Nachweisprüfung«, beginnt mit einem Rückblick auf die letzten fast fünfunddreißig Jahre. Ich beginne mit der Gründung des BSI, in der ich den späteren offiziellen Start aller Nachweisprüfungen für KRITIS-Betreiber in Deutschland sehe.

In Kapitel 2, »Die Kritisverordnung«, erläutere ich die Begriffe rund um Kritische Infrastrukturen und die BSI-Kritisverordnung. Die Kritisverordnung legt für Sie als Betreiber den Grundstein, um zu bestimmen, ob Sie als Kritische Infrastruktur gelten und Nachweise beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einreichen müssen oder nicht.

Kapitel 3, »Die IT-Sicherheitskataloge (IT-SiKat) für den Sektor Energie«, rückt für Betreiber und Prüfer im Sektor Energie die IT-Sicherheitskataloge und deren Verwendung in den Fokus. Mit diesem Kapitel endet der Rückblick und somit der erste Teil des Buches.

Den zweiten Schwerpunkt des Buches lege ich auf die Bedeutung und Verantwortung des BSI. Auch dieser Teil II des Buches umfasst drei Kapitel:

In Kapitel 4, »Die Unterstützung durch das BSI«, können Sie sich einen Überblick über die Aufgaben des BSI verschaffen. Ich stütze mich dabei auf die öffentlich zugänglichen Informationen und begrenze die Schwerpunkte auf eine Analyse der Sicherheitslage in Deutschland und die Warnung der Betreiber. Bei der Auswahl dieser Themen habe ich diejenigen Paragrafen aus dem BSI-Gesetz (BSIG) stärker gewichtet, die Aufgaben für das BSI definieren. Natürlich ist dies nur ein kleiner Ausschnitt aus den BSI-Aufgaben.

Nachdem das BSI drei Orientierungshilfen (OH) für Betreiber und Prüfer veröffentlichte, erläutere ich diese in Kapitel 5, »Die Orientierungshilfen (OH) des BSI«, um Ihnen Hilfestellungen und Orientierung im Nachweisprozess zu geben.

Das BSIG gibt dem BSI die Befugnisse, Vorgaben für die Art und Weise von Nachweisprüfungen zu definieren. In Kapitel 6, »Vorgaben an die Art und Weise von Nachweisprüfungen«, bereitete ich diese Vorgaben in Form von Dokumenten und Vorlagen für Sie auf, um Ihnen die Vorbereitung und Durchführung von Nachweisprüfungen zu vereinfachen. In diesem Kapitel beschäftigen wir uns auch mit den grundsätzlichen Anforderungen im Nachweisprozess (GAiN). Mit dem sechsten Kapitel endet der zweite Teil des Buches.

Den dritten Schwerpunkt des Buches legte ich auf die Pflichten und Möglichkeiten der KRITIS-Betreiber. Dieser Teil III, »Pflichten und Möglichkeiten des KRITIS-Betreibers«, umfasst zwei Kapitel.

In Kapitel 7, »Ihre Pflichten als KRITIS-Betreiber«, zeige ich Ihnen, welche Aufgaben auf Sie als Betreiber einer kritischen Infrastruktur zukommen. Wir sehen uns in diesem Kapitel beispielsweise die Bestimmung des Geltungsbereiches, das Risikomanagement, die Systeme zur Angriffserkennung und die Gemeinsame übergeordnete Ansprechstelle (GÜAS) genauer an.

Weil die Möglichkeit besteht, als Betreiber auch an einem Branchenspezifischen Sicherheitsstandard (B3S) mitzuwirken und diesen durch das BSI bestätigen zu lassen, zeige ich Ihnen in Kapitel 8, »Einen branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen«, wie ein B3S erstellt werden könnte und welche Schritte nötig sind, um ihn als offizielle Prüfgrundlage beim Betreiber einsetzen zu können. Mit dem achten Kapitel endet Teil III des Buches.

Kommen wir nun zum vierten Themenschwerpunkt des Buches, der eigentlichen Nachweisprüfung nach dem BSIG. Teil IV, »Die Nachweisprüfung gemäß § 8a Abs. 3 BSIG«, umfasst fünf Kapitel.

In Kapitel 9, »Planung der Nachweisprüfung durch den Betreiber«, gehe ich auf die Planung einer Nachweisprüfung durch die KRITIS-Betreiber ein, und in Kapitel 10, »Vorarbeiten für die Nachweisprüfung durch Prüfer«, zeige ich Ihnen, welche Schritte vor einer Nachweisprüfung durch die Prüfstelle umgesetzt werden müssen.

Zu diesen Vorarbeiten gehören beispielsweise die Auswahl und Definition einer Prüfgrundlage, die Bestimmung der notwendigen Prüfer-Kompetenzen, die Prüfplanung nach GAiN, die Auswahl von Stichproben und die Berücksichtigung von externen Dienstleistern.

Sind dann alle Vorarbeiten abgeschlossen, kann die Durchführung der Prüfung beginnen. Diese erläutere ich Ihnen in Kapitel 11, »Die Nachweisprüfung durchführen«. Zur Prüfdurchführung gehören beispielsweise Remote Audits, die unterschiedlichen Prüfmethoden, die Berücksichtigung bestehender ISO/IEC 27001-Zertifikate, die Prüfung branchenspezifischer Maßnahmen und des Notfallmanagements (BCMS). Auch die Aktualität der Nachweisdokumente besprechen wir im elften Kapitel.

In Kapitel 12, »Nacharbeiten nach der Nachweisprüfung«, geht es um die Arbeiten, die Prüfer und Betreiber nach einer abgeschlossenen Nachweisprüfung erledigen müssen. Die Nacharbeiten beginnen für Prüfer mit der Bewertung der ISMS- und BCMS-Reifegrade sowie mit den SzA-Umsetzungsgraden.

Zu den Nacharbeiten für Betreiber gehören die Umsetzungsplanung für Maßnahmen und die Selbsterklärung für die AWV-UBI (Außenwirtschaftsverordnung-UBI, UBI 1). Zuletzt erkläre ich in diesem Kapitel, wie Betreiber die Nachweise an das BSI übermitteln oder wie die Zertifizierungsstellen ihre Nachweise an die Bundesnetzagentur (BNetzA) weiterleiten.

In Kapitel 13, »Prüfung der eingereichten Nachweise durch das BSI«, zeige ich Ihnen, was Sie als Betreiber nach Einreichung Ihrer Unterlagen vom BSI möglicherweise noch an Eskalationen, Nachforderungen oder Sonderprüfungen erwarten dürfen. Auch auf Bußgelder kommen wir in diesem Kapitel zu sprechen.

Der Teil IV des Buches endet mit dem dreizehnten Kapitel und somit mit dem Abschluss der Nachweisprüfung.

Im fünften und letzten Teil des Buches lege ich den Schwerpunkt auf Erfahrungen aus der Praxis und wie Sie als zukünftige Nachweisprüfer in die Praxis hineinfinden. Teil V, »Aus der Praxis – in die Praxis«, umfasst drei Kapitel.

In Kapitel 14, »Untersuchung zu Umfang und Komplexität der Nachweisprüfung«, zeige ich Ihnen die Ergebnisse aus meiner Untersuchung zur Komplexität von Nachweisprüfungen im Sommer 2023. Dieses Kapitel beginnt mit einem Vergleich der BSI-Studie vom Winter/Frühjahr 2023 zur Umsetzung der IT-Sicherheitsgesetze mit den Ergebnissen meiner Studie.

Anschließend habe ich für alle, die zukünftig selbst Nachweisprüfungen durchführen möchten und den Kompetenznachweis dafür benötigen, in...