KRITIS im Dialog

Erfahrungsaustausch des BSI mit Prüfern und Betreibern aus den Sektoren Wasser und Energie

PantherMedia / Kheng Ho Toh

In 2020 werden viele KRITIS-Betreiber erneut die Umsetzung angemessener organisatorischer und technischer Maßnahmen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme gemäß § 8a Absatz 3 BSIG nachweisen müssen. Für einige Betreiber erfolgt dieser Nachweis erstmalig.

Aus den Erfahrungen der vergangenen Jahre strebte das BSI bisher einen intensiven Austausch mit den verschiedenen Akteuren des Nachweisprozesses an. Hierbei wurde der Fokus nicht nur auf die beim BSI einzureichenden Nachweisdokumente gelegt, sondern vielmehr auf den gesamten Prozess der Nachweisprüfung – insbesondere mit Blick auf Erfahrungen und Hürden vor, während und nach Prüfungen sowie Audits. So erfolgten kontinuierliche bilaterale Gespräche mit KRITIS-Betreibern; zudem gewann das BSI Eindrücke ausgewählter Betreiber im Sektor Wasser bei Vor-Ort-Prüfungen. 

Durch etablierte Gremien im UP KRITIS, u. a. dem Themenarbeitskreis Audits und Standards, aber auch Branchenarbeitskreise, fand ein gegenseitiger Erfahrungsaustauch statt. Im Gespräch mit Prüfern wurde an einem gemeinsamen Verständnis der Umsetzung von § 8a Absatz 1 BSIG und deren Nachweis gearbeitet. 

Im KRITIS-Fachbereich des BSI entstand im Laufe des vergangenen Jahres eine Matrixorganisation mit der Aufgabe, die gesammelten Erfahrungswerte und an das BSI herangetragenen Fragen und Anregungen zu sammeln und in den Gesamtprozess der Nachweiserbringung, im Sinne einer kontinuierlichen Verbesserung, zu überführen. Als sichtbares Ergebnis entstanden hieraus zahlreiche Klarstellungen und Hilfestellungen für Betreiber und Prüfer, die teilweise bereits veröffentlicht sind und sich in anderen Teilen noch in Überarbeitung befinden (z. B. hier).

Zudem veröffentlichten die Sektoren Energie und Wasser in den jeweils einschlägigen Fachzeitschriften Erfahrungen und Hinweise für die jeweiligen Sektoren. Hierbei wurden Herausforderungen vor, während und nach der eigentlichen Prüfung betrachtet und Empfehlungen für KRITIS-Betreiber gegeben. Die Ergebnisse und Lessons Learned der Matrixorganisation im KRITIS-Fachbereich verdeutlichten jedoch, wie wichtig und konstruktiv Gespräche sowie direkte Feedbacks zwischen KRITIS-Betreibern und BSI sind. 

Für die Branchen der Sektoren Energie und Wasser hat das BSI daher den KRITIS-Monat Juni genutzt, um die KRITIS-Betreiber konstruktiv bei der Nachweiserbringung zu unterstützen. Das BSI 

  • bietet allen Betreibern individuelle Feedbackgespräche an.
  • betrachtet den Gesamtprozess der Nachweiserbringung, was bereits im Vorfeld relevant ist, welche besonderen Anforderungen sich aus § 8a BSIG während einer Prüfung ergeben und Änderungen an zu erstellenden Nachweisdokumenten im Nachgang.
  • arbeitet heraus, welche Rückfragen sich im letzten Nachweis ergaben, welche Punkte bereits besonders gut ersichtlich waren. 

Das BSI gestaltet gemeinsam mit den Betreibern einen kontinuierlichen und ganzheitlichen Verbesserungsprozess, in dem die beim BSI eingehenden Rückmeldungen thematisch zusammengefasst, analysiert und erläutert werden. Das Ziel dabei ist, die Nachweisqualität zu erhöhen und die gegenseitigen Rückfragen zu reduzieren. KRITIS-Betreiber nehmen das Angebot zum Austausch gerne an. 

Mehr zu den Themen:

Verwandte Artikel

Sicherheit von Anfang an mitdenken: Staatssekretär Richter besucht das BSI

Sicherheit von Anfang an mitdenken: Staatssekretär Richter besucht das BSI

Elektronische Identitäten, die deutsche Cyber-Sicherheitsarchitektur, das Lagezentrum sowie digitale Souveränität bei 5G, KI oder Cloud-Systemen: Über diese und weitere Themen hat sich Staatssekretär Dr. Markus Richter bei seinem Antrittsbesuch...

Gehackt werden immer nur die anderen

Gehackt werden immer nur die anderen

Die Welt, in der wir leben, hat sich verändert. Der Mensch ist zum größten Risikofaktor geworden. Viele Entscheider in Kritischen Infrastrukturen, Behörden und Unternehmen haben die schleichenden, zum Teil unsichtbaren Veränderungen bisher...

Digitalisierung der Energiewirtschaft: BSI zertifiziert Smart-Meter-Gateway

Digitalisierung der Energiewirtschaft: BSI zertifiziert Smart-Meter-Gateway

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 24. Juli 2020 ein Common Criteria-Zertifikat auf Basis des Schutzprofils für das Smart-Meter-Gateway an das Unternehmen Theben AG erteilt. Die Theben AG ist das vierte...

:

Photo

Erreichbarkeit durch die Polizei

Die staatlichen Organe zur Gewährleistung der öffentlichen Sicherheit und Ordnung und hier insbesondere die Landespolizeien sind ein wichtiger Teilbereich der Daseinsvorsorge. Im Rahmen des…