KRITIS im Dialog

Erfahrungsaustausch des BSI mit Prüfern und Betreibern aus den Sektoren Wasser und Energie

PantherMedia / Kheng Ho Toh

In 2020 werden viele KRITIS-Betreiber erneut die Umsetzung angemessener organisatorischer und technischer Maßnahmen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme gemäß § 8a Absatz 3 BSIG nachweisen müssen. Für einige Betreiber erfolgt dieser Nachweis erstmalig.

Aus den Erfahrungen der vergangenen Jahre strebte das BSI bisher einen intensiven Austausch mit den verschiedenen Akteuren des Nachweisprozesses an. Hierbei wurde der Fokus nicht nur auf die beim BSI einzureichenden Nachweisdokumente gelegt, sondern vielmehr auf den gesamten Prozess der Nachweisprüfung – insbesondere mit Blick auf Erfahrungen und Hürden vor, während und nach Prüfungen sowie Audits. So erfolgten kontinuierliche bilaterale Gespräche mit KRITIS-Betreibern; zudem gewann das BSI Eindrücke ausgewählter Betreiber im Sektor Wasser bei Vor-Ort-Prüfungen. 

Durch etablierte Gremien im UP KRITIS, u. a. dem Themenarbeitskreis Audits und Standards, aber auch Branchenarbeitskreise, fand ein gegenseitiger Erfahrungsaustauch statt. Im Gespräch mit Prüfern wurde an einem gemeinsamen Verständnis der Umsetzung von § 8a Absatz 1 BSIG und deren Nachweis gearbeitet. 

Im KRITIS-Fachbereich des BSI entstand im Laufe des vergangenen Jahres eine Matrixorganisation mit der Aufgabe, die gesammelten Erfahrungswerte und an das BSI herangetragenen Fragen und Anregungen zu sammeln und in den Gesamtprozess der Nachweiserbringung, im Sinne einer kontinuierlichen Verbesserung, zu überführen. Als sichtbares Ergebnis entstanden hieraus zahlreiche Klarstellungen und Hilfestellungen für Betreiber und Prüfer, die teilweise bereits veröffentlicht sind und sich in anderen Teilen noch in Überarbeitung befinden (z. B. hier).

Zudem veröffentlichten die Sektoren Energie und Wasser in den jeweils einschlägigen Fachzeitschriften Erfahrungen und Hinweise für die jeweiligen Sektoren. Hierbei wurden Herausforderungen vor, während und nach der eigentlichen Prüfung betrachtet und Empfehlungen für KRITIS-Betreiber gegeben. Die Ergebnisse und Lessons Learned der Matrixorganisation im KRITIS-Fachbereich verdeutlichten jedoch, wie wichtig und konstruktiv Gespräche sowie direkte Feedbacks zwischen KRITIS-Betreibern und BSI sind. 

Für die Branchen der Sektoren Energie und Wasser hat das BSI daher den KRITIS-Monat Juni genutzt, um die KRITIS-Betreiber konstruktiv bei der Nachweiserbringung zu unterstützen. Das BSI 

  • bietet allen Betreibern individuelle Feedbackgespräche an.
  • betrachtet den Gesamtprozess der Nachweiserbringung, was bereits im Vorfeld relevant ist, welche besonderen Anforderungen sich aus § 8a BSIG während einer Prüfung ergeben und Änderungen an zu erstellenden Nachweisdokumenten im Nachgang.
  • arbeitet heraus, welche Rückfragen sich im letzten Nachweis ergaben, welche Punkte bereits besonders gut ersichtlich waren. 

Das BSI gestaltet gemeinsam mit den Betreibern einen kontinuierlichen und ganzheitlichen Verbesserungsprozess, in dem die beim BSI eingehenden Rückmeldungen thematisch zusammengefasst, analysiert und erläutert werden. Das Ziel dabei ist, die Nachweisqualität zu erhöhen und die gegenseitigen Rückfragen zu reduzieren. KRITIS-Betreiber nehmen das Angebot zum Austausch gerne an. 

Mehr zu den Themen:

Verwandte Artikel

Sicherheitsanforderungen für Telekommunikationsnetze

Sicherheitsanforderungen für Telekommunikationsnetze

Die Bundesnetzagentur hat den aktuellen Entwurf des Kataloges von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten veröffentlicht.

Motorola Solutions erwirbt Noggin, einen globalen Anbieter von Software für das Management kritischer Ereignisse

Motorola Solutions erwirbt Noggin, einen globalen Anbieter von Software für das Management kritischer Ereignisse

Motorola Solutions hat Noggin übernommen, einen globalen Anbieter von Cloud-basierter Software für Business-Continuity-Planung, betriebliche Ausfallsicherheit und Management kritischer Ereignisse.

e*FirstAid: Neue Ersthelfer-Lösung von e*Message alarmiert sicher, zuverlässig und individuell

e*FirstAid: Neue Ersthelfer-Lösung von e*Message alarmiert sicher, zuverlässig und individuell

Für die sichere, schnelle Benachrichtigung von Ersthelfern stellt der Alarmierungsspezialist e*Message nun mit e*FirstAid eine neue, intelligente und besonders zuverlässige Ersthelfer Lösung vor.

:

Photo

Entwickung Cybercrime 2023/2024

Die Bedrohung im Cyberraum ist so hoch wie noch nie. Aber es gibt auch wirksame Präventionsmöglichkeiten und hervorragende Bekämpfungserfolge. All das lässt sich an der aktuellen Entwicklung in…