Jacqueline Naumann
KRITIS
Anforderungen, Pflichten, Nachweisprüfung. Das Handbuch aktuell zur neuen KRITIS-Verordnung
Jacqueline Naumann
KRITIS
Anforderungen, Pflichten, Nachweisprüfung. Das Handbuch aktuell zur neuen KRITIS-Verordnung
- Gebundenes Buch
- Merkliste
- Auf die Merkliste
- Bewerten Bewerten
- Teilen
- Produkt teilen
- Produkterinnerung
- Produkterinnerung
In diesem Leitfaden erfahren Sie, was Ihre Pflichten als Betreiber einer kritischen Infrastruktur sind, was Sie in der Nachweisprüfung erwartet und wie Sie sich ideal darauf vorbereiten. Auditoren hilft dieses Handbuch mit Infos zur zusätzlichen Prüfverfahrenskompetenz und Anleitungen zur eigenständigen Durchführung von KRITIS-Audits. Jacqueline Naumann begleitet Sie durch die Verordnungen und Orientierungshilfen des BSIs und erklärt praxisnah, was hinter den Anforderungen steckt.
Aus dem Inhalt:
Die KritisverordnungDie IT-SicherheitskatalogeDie Unterstützung durch das BSIDie…mehr
Andere Kunden interessierten sich auch für
![Learn CentOS Linux Network Services]( "Learn CentOS Linux Network Services")
Antonio VazquezLearn CentOS Linux Network Services44,99 €![Sicherheitskritische Mensch-Computer-Interaktion]( "Sicherheitskritische Mensch-Computer-Interaktion")
Sicherheitskritische Mensch-Computer-Interaktion59,99 €![Macrotask Crowdsourcing]( "Macrotask Crowdsourcing")
Macrotask Crowdsourcing74,99 €![Windows Server]( "Windows Server")
Peter KloepWindows Server69,90 €![Betriebssysteme kompakt]( "Betriebssysteme kompakt")
Christian BaunBetriebssysteme kompakt19,99 €![LPIC-1]( "LPIC-1")
Harald MaaßenLPIC-134,90 €![Linux]( "Linux")
Michael KoflerLinux49,90 €-
-
-
In diesem Leitfaden erfahren Sie, was Ihre Pflichten als Betreiber einer kritischen Infrastruktur sind, was Sie in der Nachweisprüfung erwartet und wie Sie sich ideal darauf vorbereiten. Auditoren hilft dieses Handbuch mit Infos zur zusätzlichen Prüfverfahrenskompetenz und Anleitungen zur eigenständigen Durchführung von KRITIS-Audits.
Jacqueline Naumann begleitet Sie durch die Verordnungen und Orientierungshilfen des BSIs und erklärt praxisnah, was hinter den Anforderungen steckt.
Aus dem Inhalt:
Die KritisverordnungDie IT-SicherheitskatalogeDie Unterstützung durch das BSIDie Orientierungshilfen des BSIVorgaben an die NachweisprüfungIhre Pflichten als KRITIS-BetreiberEinen Branchenspezifischen Sicherheitsstandard (B3S) veröffentlichenPlanung der Nachweisprüfung durch den BetreiberVorarbeiten für die Nachweisprüfung durch PrüferDie Nachweisprüfung durchführenAus der Praxis: Prüfung der eingereichten Nachweise durch das BSIUntersuchung zu Umfang und Komplexität der NachweisprüfungZusätzliche Prüfverfahrenskompetenz nach dem BSIG
Jacqueline Naumann begleitet Sie durch die Verordnungen und Orientierungshilfen des BSIs und erklärt praxisnah, was hinter den Anforderungen steckt.
Aus dem Inhalt:
Die KritisverordnungDie IT-SicherheitskatalogeDie Unterstützung durch das BSIDie Orientierungshilfen des BSIVorgaben an die NachweisprüfungIhre Pflichten als KRITIS-BetreiberEinen Branchenspezifischen Sicherheitsstandard (B3S) veröffentlichenPlanung der Nachweisprüfung durch den BetreiberVorarbeiten für die Nachweisprüfung durch PrüferDie Nachweisprüfung durchführenAus der Praxis: Prüfung der eingereichten Nachweise durch das BSIUntersuchung zu Umfang und Komplexität der NachweisprüfungZusätzliche Prüfverfahrenskompetenz nach dem BSIG
Produktdetails
- Produktdetails
- Rheinwerk Computing
- Verlag: Rheinwerk Computing / Rheinwerk Verlag
- Artikelnr. des Verlages: 459/09758
- Seitenzahl: 402
- Erscheinungstermin: 8. April 2024
- Deutsch
- Abmessung: 245mm x 173mm x 27mm
- Gewicht: 863g
- ISBN-13: 9783836297585
- ISBN-10: 3836297582
- Artikelnr.: 69012542
- Rheinwerk Computing
- Verlag: Rheinwerk Computing / Rheinwerk Verlag
- Artikelnr. des Verlages: 459/09758
- Seitenzahl: 402
- Erscheinungstermin: 8. April 2024
- Deutsch
- Abmessung: 245mm x 173mm x 27mm
- Gewicht: 863g
- ISBN-13: 9783836297585
- ISBN-10: 3836297582
- Artikelnr.: 69012542
Jacqueline Naumann ist studierte Informatikerin und war knapp zwanzig Jahre im IT-Umfeld beschäftigt, bevor sie sich 2015 als Trainer, Auditor und Berater für Informationssicherheit selbstständig machte. Sie schult seit 2016 Sicherheitsbeauftragte und Auditoren zur ISO/IEC 27001. Seit 2017 zertifiziert Naumann nach ISO/IEC 27001 und IT-Sicherheitskatalog für Zertifizierungsgesellschaften. Sie schult seit 2018 zur 'Zusätzlichen Prüfverfahrenskompetenz für § 8a BSIG' und führt Nachweisprüfungen nach § 8a BSIG für unterschiedliche Sektoren durch. Im Oktober 2020 wurde Naumann erstmals vom BSI zum IT-Grundschutz-Berater zertifiziert. Seit 2021 ist sie geschäftsführende Gesellschafterin der iXactly GmbH in Dresden.
Materialien zum Buch ... 13
Einleitung ... 15
Wie Ihnen dieses Buch helfen kann -- und was es nicht ist ... 17
Der Weg durch das Buch ... 19
Danksagung ... 23
Teil I. Gesetzliche Anforderungen und Begriffe im KRITIS-Umfeld ... 27
1. Geschichtliche Hintergründe zur Nachweisprüfung ... 29
1.1 ... UP KRITIS ... 42
1.2 ... Das IT-Sicherheitsgesetz von 2015 ... 47
1.3 ... Das Gesetz zur Umsetzung der NIS-Richtlinie ... 60
1.4 ... Das IT-Sicherheitsgesetz 2.0 ... 64
1.5 ... Die NIS-2-Richtlinie ... 72
1.6 ... Das BSI-Gesetz (BSIG) ... 75
2. Die Kritisverordnung ... 81
2.1 ... Kritische Infrastrukturen ... 81
2.2 ... Die Erarbeitung der Kritisverordnung ... 82
2.3 ... Begriffe und Definitionen ... 84
2.4 ... Sektoren nach dem BSIG ... 87
2.5 ... Anlagenkategorien für kritische Dienstleistungen ... 101
2.6 ... Anhänge zu den Sektoren ... 102
2.7 ... Welche Betreiber fallen unter das BSIG? ... 112
2.8 ... Unternehmen im besonderen öffentlichen Interesse (UBIs) ... 114
3. Die IT-Sicherheitskataloge (IT-SiKat) für den Sektor Energie ... 117
3.1 ... Die Bundesnetzagentur (BNetzA) ... 119
3.2 ... Das Energiewirtschaftsgesetz (EnWG) ... 120
3.3 ... Die IT-Sicherheitskataloge ... 122
3.4 ... Die ISO/IEC 27019 -- Steuerungssysteme der Energieversorgung ... 130
Teil II. Bedeutung und Verantwortung des BSI für Kritische Infrastrukturen ... 135
4. Die Unterstützung durch das BSI ... 137
4.1 ... Die Gewährleistungsverantwortung gegenüber der Bevölkerung ... 143
4.2 ... Die Meldestelle für Informationssicherheitsvorfälle ... 144
4.3 ... Erstellung von Lagebildern und Weiterleitung von Information an die KRITIS-Betreiber ... 145
4.4 ... Informations- und Meldeflüsse nach dem BSIG ... 152
5. Die Orientierungshilfen (OH) des BSI ... 159
5.1 ... OH zum Aufbau eines branchenspezifischen Sicherheitsstandards (B3S) ... 159
5.2 ... OH zu Systemen zur Angriffserkennung (SzA) ... 161
5.3 ... OH zu Nachweisen (für Prüfer) ... 163
6. Vorgaben an die Art und Weise von Nachweisprüfungen ... 169
6.1 ... Registrierung als KRITIS-Betreiber ... 171
6.2 ... Das Melde- und Informationsportal (MIP) ... 171
6.3 ... Der Nachweisprozess ... 176
6.4 ... Die Vorgabedokumente im Nachweisprozess ... 177
Teil III. Pflichten und Möglichkeiten des KRITIS-Betreibers ... 197
7. Ihre Pflichten als KRITIS-Betreiber ... 199
7.1 ... Der Geltungsbereich für die kritische Dienstleistung ... 200
7.2 ... Organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ... 210
7.3 ... Systeme zur Angriffserkennung (SzA) ... 215
7.4 ... Interne Audits ... 222
7.5 ... Melden von Informationssicherheitsvorfällen, Störungen und Ausfällen ... 223
7.6 ... Gemeinsame übergeordnete Ansprechstelle (GÜAS) ... 224
8. Einen branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen ... 227
8.1 ... Aufbau eines B3S mithilfe der OH B3S ... 227
8.2 ... Einen B3S beim BSI einreichen ... 232
8.3 ... Eignungsfeststellung des BSI ... 235
8.4 ... Aktuell veröffentlichte B3S ... 236
8.5 ... Vorteile und Nachteile vorhandener B3S ... 238
Teil IV. Die Nachweisprüfung gemäß 8a Abs. 3 BSIG ... 239
9. Planung der Nachweisprüfung durch den Betreiber ... 241
9.1 ... Auswahl einer Prüfstelle ... 241
9.2 ... Anforderungen an eine prüfende Stelle ... 242
9.3 ... Eignung als prüfende Stelle ... 243
10. Vorarbeiten für die Nachweisprüfung durch Prüfer ... 247
10.1 ... Welche Prüfgrundlagen können wir einsetzen? ... 248
10.2 ... Kompetenzbereiche und Aufteilung im Prüfteam ... 257
10.3 ... Fachexperten auswählen und einsetzen ... 258
10.4 ... Die Prüfungsplanung durch die Prüfstelle ... 260
10.5 ... Auswahl von Stichproben ... 264
10.6 ... Berücksichtigung externer Dienstleister ... 266
10.7 ... Die Mängelkategorien des BSI ... 267
11. Die Nachweisprüfung durchführen ... 271
11.1 ... Audit von Managementsystemen nach der ISO 19011 ... 272
11.2 ... Arbeitsschutz für Auditoren ... 275
11.3 ... Remote-Audits ... 277
11.4 ... Mögliche Prüfmethoden ... 282
11.5 ... Verwendung bestehender Zertifikate ... 283
11.6 ... Prüfung der branchenspezifischen Maßnahmen ... 287
11.7 ... Prüfung des BCMS ... 291
11.8 ... Aktualität der BSI-Formulare und OHs beim Prüfteam ... 297
12. Nacharbeiten nach der Nachweisprüfung ... 301
12.1 ... Aufgaben des Prüfers ... 302
12.2 ... Aufgaben des Betreibers ... 316
13. Prüfung der eingereichten Nachweise durch das BSI ... 329
13.1 ... Nachforderung von Dokumenten ... 329
13.2 ... Eskalation bei Unvollständigkeit ... 331
13.3 ... Sonderprüfungen nach dem BSIG ... 332
13.4 ... Nachprüfung wegen zu kleinem Geltungsbereich ... 333
13.5 ... Bußgelder ... 334
Teil V. Aus der Praxis -- in die Praxis ... 339
14. Untersuchung zu Umfang und Komplexität der Nachweisprüfung ... 341
14.1 ... Die BSI-Studie zur Umsetzung der IT-Sicherheitsgesetze ... 342
14.2 ... Studie zu Nachweisprüfungen nach BSIG ... 344
15. Zusätzliche Prüfverfahrenskompetenz nach dem BSIG ... 377
15.1 ... Weiterbildung und schriftliche Prüfung ... 377
15.2 ... Überprüfung Ihrer Antworten ... 378
16. Fazit und Ausblick ... 385
Literaturverzeichnis ... 389
Index ... 395
Einleitung ... 15
Wie Ihnen dieses Buch helfen kann -- und was es nicht ist ... 17
Der Weg durch das Buch ... 19
Danksagung ... 23
Teil I. Gesetzliche Anforderungen und Begriffe im KRITIS-Umfeld ... 27
1. Geschichtliche Hintergründe zur Nachweisprüfung ... 29
1.1 ... UP KRITIS ... 42
1.2 ... Das IT-Sicherheitsgesetz von 2015 ... 47
1.3 ... Das Gesetz zur Umsetzung der NIS-Richtlinie ... 60
1.4 ... Das IT-Sicherheitsgesetz 2.0 ... 64
1.5 ... Die NIS-2-Richtlinie ... 72
1.6 ... Das BSI-Gesetz (BSIG) ... 75
2. Die Kritisverordnung ... 81
2.1 ... Kritische Infrastrukturen ... 81
2.2 ... Die Erarbeitung der Kritisverordnung ... 82
2.3 ... Begriffe und Definitionen ... 84
2.4 ... Sektoren nach dem BSIG ... 87
2.5 ... Anlagenkategorien für kritische Dienstleistungen ... 101
2.6 ... Anhänge zu den Sektoren ... 102
2.7 ... Welche Betreiber fallen unter das BSIG? ... 112
2.8 ... Unternehmen im besonderen öffentlichen Interesse (UBIs) ... 114
3. Die IT-Sicherheitskataloge (IT-SiKat) für den Sektor Energie ... 117
3.1 ... Die Bundesnetzagentur (BNetzA) ... 119
3.2 ... Das Energiewirtschaftsgesetz (EnWG) ... 120
3.3 ... Die IT-Sicherheitskataloge ... 122
3.4 ... Die ISO/IEC 27019 -- Steuerungssysteme der Energieversorgung ... 130
Teil II. Bedeutung und Verantwortung des BSI für Kritische Infrastrukturen ... 135
4. Die Unterstützung durch das BSI ... 137
4.1 ... Die Gewährleistungsverantwortung gegenüber der Bevölkerung ... 143
4.2 ... Die Meldestelle für Informationssicherheitsvorfälle ... 144
4.3 ... Erstellung von Lagebildern und Weiterleitung von Information an die KRITIS-Betreiber ... 145
4.4 ... Informations- und Meldeflüsse nach dem BSIG ... 152
5. Die Orientierungshilfen (OH) des BSI ... 159
5.1 ... OH zum Aufbau eines branchenspezifischen Sicherheitsstandards (B3S) ... 159
5.2 ... OH zu Systemen zur Angriffserkennung (SzA) ... 161
5.3 ... OH zu Nachweisen (für Prüfer) ... 163
6. Vorgaben an die Art und Weise von Nachweisprüfungen ... 169
6.1 ... Registrierung als KRITIS-Betreiber ... 171
6.2 ... Das Melde- und Informationsportal (MIP) ... 171
6.3 ... Der Nachweisprozess ... 176
6.4 ... Die Vorgabedokumente im Nachweisprozess ... 177
Teil III. Pflichten und Möglichkeiten des KRITIS-Betreibers ... 197
7. Ihre Pflichten als KRITIS-Betreiber ... 199
7.1 ... Der Geltungsbereich für die kritische Dienstleistung ... 200
7.2 ... Organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ... 210
7.3 ... Systeme zur Angriffserkennung (SzA) ... 215
7.4 ... Interne Audits ... 222
7.5 ... Melden von Informationssicherheitsvorfällen, Störungen und Ausfällen ... 223
7.6 ... Gemeinsame übergeordnete Ansprechstelle (GÜAS) ... 224
8. Einen branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen ... 227
8.1 ... Aufbau eines B3S mithilfe der OH B3S ... 227
8.2 ... Einen B3S beim BSI einreichen ... 232
8.3 ... Eignungsfeststellung des BSI ... 235
8.4 ... Aktuell veröffentlichte B3S ... 236
8.5 ... Vorteile und Nachteile vorhandener B3S ... 238
Teil IV. Die Nachweisprüfung gemäß 8a Abs. 3 BSIG ... 239
9. Planung der Nachweisprüfung durch den Betreiber ... 241
9.1 ... Auswahl einer Prüfstelle ... 241
9.2 ... Anforderungen an eine prüfende Stelle ... 242
9.3 ... Eignung als prüfende Stelle ... 243
10. Vorarbeiten für die Nachweisprüfung durch Prüfer ... 247
10.1 ... Welche Prüfgrundlagen können wir einsetzen? ... 248
10.2 ... Kompetenzbereiche und Aufteilung im Prüfteam ... 257
10.3 ... Fachexperten auswählen und einsetzen ... 258
10.4 ... Die Prüfungsplanung durch die Prüfstelle ... 260
10.5 ... Auswahl von Stichproben ... 264
10.6 ... Berücksichtigung externer Dienstleister ... 266
10.7 ... Die Mängelkategorien des BSI ... 267
11. Die Nachweisprüfung durchführen ... 271
11.1 ... Audit von Managementsystemen nach der ISO 19011 ... 272
11.2 ... Arbeitsschutz für Auditoren ... 275
11.3 ... Remote-Audits ... 277
11.4 ... Mögliche Prüfmethoden ... 282
11.5 ... Verwendung bestehender Zertifikate ... 283
11.6 ... Prüfung der branchenspezifischen Maßnahmen ... 287
11.7 ... Prüfung des BCMS ... 291
11.8 ... Aktualität der BSI-Formulare und OHs beim Prüfteam ... 297
12. Nacharbeiten nach der Nachweisprüfung ... 301
12.1 ... Aufgaben des Prüfers ... 302
12.2 ... Aufgaben des Betreibers ... 316
13. Prüfung der eingereichten Nachweise durch das BSI ... 329
13.1 ... Nachforderung von Dokumenten ... 329
13.2 ... Eskalation bei Unvollständigkeit ... 331
13.3 ... Sonderprüfungen nach dem BSIG ... 332
13.4 ... Nachprüfung wegen zu kleinem Geltungsbereich ... 333
13.5 ... Bußgelder ... 334
Teil V. Aus der Praxis -- in die Praxis ... 339
14. Untersuchung zu Umfang und Komplexität der Nachweisprüfung ... 341
14.1 ... Die BSI-Studie zur Umsetzung der IT-Sicherheitsgesetze ... 342
14.2 ... Studie zu Nachweisprüfungen nach BSIG ... 344
15. Zusätzliche Prüfverfahrenskompetenz nach dem BSIG ... 377
15.1 ... Weiterbildung und schriftliche Prüfung ... 377
15.2 ... Überprüfung Ihrer Antworten ... 378
16. Fazit und Ausblick ... 385
Literaturverzeichnis ... 389
Index ... 395
Materialien zum Buch ... 13
Einleitung ... 15
Wie Ihnen dieses Buch helfen kann -- und was es nicht ist ... 17
Der Weg durch das Buch ... 19
Danksagung ... 23
Teil I. Gesetzliche Anforderungen und Begriffe im KRITIS-Umfeld ... 27
1. Geschichtliche Hintergründe zur Nachweisprüfung ... 29
1.1 ... UP KRITIS ... 42
1.2 ... Das IT-Sicherheitsgesetz von 2015 ... 47
1.3 ... Das Gesetz zur Umsetzung der NIS-Richtlinie ... 60
1.4 ... Das IT-Sicherheitsgesetz 2.0 ... 64
1.5 ... Die NIS-2-Richtlinie ... 72
1.6 ... Das BSI-Gesetz (BSIG) ... 75
2. Die Kritisverordnung ... 81
2.1 ... Kritische Infrastrukturen ... 81
2.2 ... Die Erarbeitung der Kritisverordnung ... 82
2.3 ... Begriffe und Definitionen ... 84
2.4 ... Sektoren nach dem BSIG ... 87
2.5 ... Anlagenkategorien für kritische Dienstleistungen ... 101
2.6 ... Anhänge zu den Sektoren ... 102
2.7 ... Welche Betreiber fallen unter das BSIG? ... 112
2.8 ... Unternehmen im besonderen öffentlichen Interesse (UBIs) ... 114
3. Die IT-Sicherheitskataloge (IT-SiKat) für den Sektor Energie ... 117
3.1 ... Die Bundesnetzagentur (BNetzA) ... 119
3.2 ... Das Energiewirtschaftsgesetz (EnWG) ... 120
3.3 ... Die IT-Sicherheitskataloge ... 122
3.4 ... Die ISO/IEC 27019 -- Steuerungssysteme der Energieversorgung ... 130
Teil II. Bedeutung und Verantwortung des BSI für Kritische Infrastrukturen ... 135
4. Die Unterstützung durch das BSI ... 137
4.1 ... Die Gewährleistungsverantwortung gegenüber der Bevölkerung ... 143
4.2 ... Die Meldestelle für Informationssicherheitsvorfälle ... 144
4.3 ... Erstellung von Lagebildern und Weiterleitung von Information an die KRITIS-Betreiber ... 145
4.4 ... Informations- und Meldeflüsse nach dem BSIG ... 152
5. Die Orientierungshilfen (OH) des BSI ... 159
5.1 ... OH zum Aufbau eines branchenspezifischen Sicherheitsstandards (B3S) ... 159
5.2 ... OH zu Systemen zur Angriffserkennung (SzA) ... 161
5.3 ... OH zu Nachweisen (für Prüfer) ... 163
6. Vorgaben an die Art und Weise von Nachweisprüfungen ... 169
6.1 ... Registrierung als KRITIS-Betreiber ... 171
6.2 ... Das Melde- und Informationsportal (MIP) ... 171
6.3 ... Der Nachweisprozess ... 176
6.4 ... Die Vorgabedokumente im Nachweisprozess ... 177
Teil III. Pflichten und Möglichkeiten des KRITIS-Betreibers ... 197
7. Ihre Pflichten als KRITIS-Betreiber ... 199
7.1 ... Der Geltungsbereich für die kritische Dienstleistung ... 200
7.2 ... Organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ... 210
7.3 ... Systeme zur Angriffserkennung (SzA) ... 215
7.4 ... Interne Audits ... 222
7.5 ... Melden von Informationssicherheitsvorfällen, Störungen und Ausfällen ... 223
7.6 ... Gemeinsame übergeordnete Ansprechstelle (GÜAS) ... 224
8. Einen branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen ... 227
8.1 ... Aufbau eines B3S mithilfe der OH B3S ... 227
8.2 ... Einen B3S beim BSI einreichen ... 232
8.3 ... Eignungsfeststellung des BSI ... 235
8.4 ... Aktuell veröffentlichte B3S ... 236
8.5 ... Vorteile und Nachteile vorhandener B3S ... 238
Teil IV. Die Nachweisprüfung gemäß 8a Abs. 3 BSIG ... 239
9. Planung der Nachweisprüfung durch den Betreiber ... 241
9.1 ... Auswahl einer Prüfstelle ... 241
9.2 ... Anforderungen an eine prüfende Stelle ... 242
9.3 ... Eignung als prüfende Stelle ... 243
10. Vorarbeiten für die Nachweisprüfung durch Prüfer ... 247
10.1 ... Welche Prüfgrundlagen können wir einsetzen? ... 248
10.2 ... Kompetenzbereiche und Aufteilung im Prüfteam ... 257
10.3 ... Fachexperten auswählen und einsetzen ... 258
10.4 ... Die Prüfungsplanung durch die Prüfstelle ... 260
10.5 ... Auswahl von Stichproben ... 264
10.6 ... Berücksichtigung externer Dienstleister ... 266
10.7 ... Die Mängelkategorien des BSI ... 267
11. Die Nachweisprüfung durchführen ... 271
11.1 ... Audit von Managementsystemen nach der ISO 19011 ... 272
11.2 ... Arbeitsschutz für Auditoren ... 275
11.3 ... Remote-Audits ... 277
11.4 ... Mögliche Prüfmethoden ... 282
11.5 ... Verwendung bestehender Zertifikate ... 283
11.6 ... Prüfung der branchenspezifischen Maßnahmen ... 287
11.7 ... Prüfung des BCMS ... 291
11.8 ... Aktualität der BSI-Formulare und OHs beim Prüfteam ... 297
12. Nacharbeiten nach der Nachweisprüfung ... 301
12.1 ... Aufgaben des Prüfers ... 302
12.2 ... Aufgaben des Betreibers ... 316
13. Prüfung der eingereichten Nachweise durch das BSI ... 329
13.1 ... Nachforderung von Dokumenten ... 329
13.2 ... Eskalation bei Unvollständigkeit ... 331
13.3 ... Sonderprüfungen nach dem BSIG ... 332
13.4 ... Nachprüfung wegen zu kleinem Geltungsbereich ... 333
13.5 ... Bußgelder ... 334
Teil V. Aus der Praxis -- in die Praxis ... 339
14. Untersuchung zu Umfang und Komplexität der Nachweisprüfung ... 341
14.1 ... Die BSI-Studie zur Umsetzung der IT-Sicherheitsgesetze ... 342
14.2 ... Studie zu Nachweisprüfungen nach BSIG ... 344
15. Zusätzliche Prüfverfahrenskompetenz nach dem BSIG ... 377
15.1 ... Weiterbildung und schriftliche Prüfung ... 377
15.2 ... Überprüfung Ihrer Antworten ... 378
16. Fazit und Ausblick ... 385
Literaturverzeichnis ... 389
Index ... 395
Einleitung ... 15
Wie Ihnen dieses Buch helfen kann -- und was es nicht ist ... 17
Der Weg durch das Buch ... 19
Danksagung ... 23
Teil I. Gesetzliche Anforderungen und Begriffe im KRITIS-Umfeld ... 27
1. Geschichtliche Hintergründe zur Nachweisprüfung ... 29
1.1 ... UP KRITIS ... 42
1.2 ... Das IT-Sicherheitsgesetz von 2015 ... 47
1.3 ... Das Gesetz zur Umsetzung der NIS-Richtlinie ... 60
1.4 ... Das IT-Sicherheitsgesetz 2.0 ... 64
1.5 ... Die NIS-2-Richtlinie ... 72
1.6 ... Das BSI-Gesetz (BSIG) ... 75
2. Die Kritisverordnung ... 81
2.1 ... Kritische Infrastrukturen ... 81
2.2 ... Die Erarbeitung der Kritisverordnung ... 82
2.3 ... Begriffe und Definitionen ... 84
2.4 ... Sektoren nach dem BSIG ... 87
2.5 ... Anlagenkategorien für kritische Dienstleistungen ... 101
2.6 ... Anhänge zu den Sektoren ... 102
2.7 ... Welche Betreiber fallen unter das BSIG? ... 112
2.8 ... Unternehmen im besonderen öffentlichen Interesse (UBIs) ... 114
3. Die IT-Sicherheitskataloge (IT-SiKat) für den Sektor Energie ... 117
3.1 ... Die Bundesnetzagentur (BNetzA) ... 119
3.2 ... Das Energiewirtschaftsgesetz (EnWG) ... 120
3.3 ... Die IT-Sicherheitskataloge ... 122
3.4 ... Die ISO/IEC 27019 -- Steuerungssysteme der Energieversorgung ... 130
Teil II. Bedeutung und Verantwortung des BSI für Kritische Infrastrukturen ... 135
4. Die Unterstützung durch das BSI ... 137
4.1 ... Die Gewährleistungsverantwortung gegenüber der Bevölkerung ... 143
4.2 ... Die Meldestelle für Informationssicherheitsvorfälle ... 144
4.3 ... Erstellung von Lagebildern und Weiterleitung von Information an die KRITIS-Betreiber ... 145
4.4 ... Informations- und Meldeflüsse nach dem BSIG ... 152
5. Die Orientierungshilfen (OH) des BSI ... 159
5.1 ... OH zum Aufbau eines branchenspezifischen Sicherheitsstandards (B3S) ... 159
5.2 ... OH zu Systemen zur Angriffserkennung (SzA) ... 161
5.3 ... OH zu Nachweisen (für Prüfer) ... 163
6. Vorgaben an die Art und Weise von Nachweisprüfungen ... 169
6.1 ... Registrierung als KRITIS-Betreiber ... 171
6.2 ... Das Melde- und Informationsportal (MIP) ... 171
6.3 ... Der Nachweisprozess ... 176
6.4 ... Die Vorgabedokumente im Nachweisprozess ... 177
Teil III. Pflichten und Möglichkeiten des KRITIS-Betreibers ... 197
7. Ihre Pflichten als KRITIS-Betreiber ... 199
7.1 ... Der Geltungsbereich für die kritische Dienstleistung ... 200
7.2 ... Organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ... 210
7.3 ... Systeme zur Angriffserkennung (SzA) ... 215
7.4 ... Interne Audits ... 222
7.5 ... Melden von Informationssicherheitsvorfällen, Störungen und Ausfällen ... 223
7.6 ... Gemeinsame übergeordnete Ansprechstelle (GÜAS) ... 224
8. Einen branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen ... 227
8.1 ... Aufbau eines B3S mithilfe der OH B3S ... 227
8.2 ... Einen B3S beim BSI einreichen ... 232
8.3 ... Eignungsfeststellung des BSI ... 235
8.4 ... Aktuell veröffentlichte B3S ... 236
8.5 ... Vorteile und Nachteile vorhandener B3S ... 238
Teil IV. Die Nachweisprüfung gemäß 8a Abs. 3 BSIG ... 239
9. Planung der Nachweisprüfung durch den Betreiber ... 241
9.1 ... Auswahl einer Prüfstelle ... 241
9.2 ... Anforderungen an eine prüfende Stelle ... 242
9.3 ... Eignung als prüfende Stelle ... 243
10. Vorarbeiten für die Nachweisprüfung durch Prüfer ... 247
10.1 ... Welche Prüfgrundlagen können wir einsetzen? ... 248
10.2 ... Kompetenzbereiche und Aufteilung im Prüfteam ... 257
10.3 ... Fachexperten auswählen und einsetzen ... 258
10.4 ... Die Prüfungsplanung durch die Prüfstelle ... 260
10.5 ... Auswahl von Stichproben ... 264
10.6 ... Berücksichtigung externer Dienstleister ... 266
10.7 ... Die Mängelkategorien des BSI ... 267
11. Die Nachweisprüfung durchführen ... 271
11.1 ... Audit von Managementsystemen nach der ISO 19011 ... 272
11.2 ... Arbeitsschutz für Auditoren ... 275
11.3 ... Remote-Audits ... 277
11.4 ... Mögliche Prüfmethoden ... 282
11.5 ... Verwendung bestehender Zertifikate ... 283
11.6 ... Prüfung der branchenspezifischen Maßnahmen ... 287
11.7 ... Prüfung des BCMS ... 291
11.8 ... Aktualität der BSI-Formulare und OHs beim Prüfteam ... 297
12. Nacharbeiten nach der Nachweisprüfung ... 301
12.1 ... Aufgaben des Prüfers ... 302
12.2 ... Aufgaben des Betreibers ... 316
13. Prüfung der eingereichten Nachweise durch das BSI ... 329
13.1 ... Nachforderung von Dokumenten ... 329
13.2 ... Eskalation bei Unvollständigkeit ... 331
13.3 ... Sonderprüfungen nach dem BSIG ... 332
13.4 ... Nachprüfung wegen zu kleinem Geltungsbereich ... 333
13.5 ... Bußgelder ... 334
Teil V. Aus der Praxis -- in die Praxis ... 339
14. Untersuchung zu Umfang und Komplexität der Nachweisprüfung ... 341
14.1 ... Die BSI-Studie zur Umsetzung der IT-Sicherheitsgesetze ... 342
14.2 ... Studie zu Nachweisprüfungen nach BSIG ... 344
15. Zusätzliche Prüfverfahrenskompetenz nach dem BSIG ... 377
15.1 ... Weiterbildung und schriftliche Prüfung ... 377
15.2 ... Überprüfung Ihrer Antworten ... 378
16. Fazit und Ausblick ... 385
Literaturverzeichnis ... 389
Index ... 395