KRITIS: Erster branchenspezifischer Sicherheitsstandard ist anerkannt
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Eignung des ersten Sicherheitsstandards für einen KRITIS-Sektor festgestellt. Betreiber Kritischer Infrastrukturen aus dem Sektor Wasser, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, können durch die Anwendung des Standards B3S Wasser/Abwasser die Mindestanforderungen für IT-Sicherheit gemäß § 8a (1) BSI-Gesetz erfüllen.
Um Defizite im Bereich der IT-Sicherheit abzubauen, wurde durch die Bundesregierung das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz IT-SiG) verabschiedet, das am 25. Juli 2015 in Kraft getreten ist. Das IT-Sicherheitsgesetz verpflichtet Betreiber Kritischer Infrastrukturen unter anderem dazu, technische und organisatorische Maßnahmen zu ergreifen, um ihre Informationstechnologie nach dem „Stand der Technik“ abzusichern und die Erfüllung dieser Anforderung auch alle zwei Jahre nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen wie beispielsweise nach ISO 27001 erfolgen.
Um die Erfüllung dieser Anforderungen zu gewährleisten, sieht das Gesetz vor, dass Betreiber branchenspezifische Sicherheitsstandards (B3S) vorschlagen können, die vom BSI auf die Eignung überprüft werden. Eine gesetzliche Pflicht zur Erarbeitung eines solchen B3S besteht nicht; allerdings haben die Branchen hier die Möglichkeit ausgehend von ihrer eigenen Expertise Vorgaben zum „Stand der Technik“ zu formulieren. Die Eignung des ersten B3S wurde nun für den KRITIS-Sektor Wasser anerkannt (vgl. Pressemitteilung des BSI vom 01.08.2017). Die Erstellung des B3S Wasser/Abwasser wurde vom Branchenkreis Wasser/Abwasser des UP KRITIS eingeleitet und in einem hierfür gegründeteten Arbeitskreis von Repräsentanten der regelsetzenden Verbände DVGW (Deutscher Verein des Gas- und Wasserfaches) und DWA (Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall) erstellt. Nach Festellung der Eignung durch das BSI in Zusammenarbeit mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) können die Verbände den Standard ihren Mitgliedern zur Verfügung stellen. Der Standard bietet Betreibern kritischer Infrastrukturen aus dem Segment Wasser, die sich danach prüfen lassen, Rechtssicherheit bzgl. des „Stand der Technik", der bei einem Audit verlangt und überprüft wird.
Weitere branchenspezifische Sicherheitsstandards
Das BSI stellt auf seiner Webseite eine Übersicht über branchenspezifische Sicherheitsstandards zur Verfügung. In dieser Übersicht werden alle in Arbeit befindlichen bzw. veröffentlichten B3S nach Bearbeitungsstatus gegliedert aufgelistet (insofern die Ersteller der B3S der Veröffentlichung zugestimmt haben). Sie erreichen die Übersicht hier.
Wer ist laut IT-Sicherheitsgesetz ein Betreiber von Kritischen Infrastrukturen?
Wer Betreiber von Kritischen Infrastrukturen im Sinnes des Gesetzes sind, wird in der BSI-Kritisverordnung (BSI-KritisV) geregelt. Die Betreiber aller sieben im Gesetz festgelegten Sektoren können auf Basis der Verordnung überprüfen, ob sie Kritische Infrastrukuren nach dem IT-Sicherheitsgesetz betreiben. Der erste Teil der BSI-Kritisverordnung (BSI-KritisV) trat bereits am 3. Mai 2016 in Kraft. Hier wurden die Kritierien für die Sektoren „Energie“, „Informationstechnik und Telekommunikation", „Wasser" und „Ernährung" festgelegt. Am 30. Juni 2017 trat der zweite Teil in Kraft. Dieser umfasst die Kritierien für Betreiber Kritischer Infrastruktruren aus den Sektoren „Finanz- und Versicherungswesen“, „Gesundheit“ sowie „Transport und Verkehr“.