Nutzung eines bestehenden ISO/IEC 27001-Zertifikates als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG
Ein gültiges ISO/IEC 27001-Zertifikat ist als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG verwendbar, sofern einige Rahmenbedingungen eingehalten werden. Dies gilt sowohl für native ISO/IEC 27001-Zertifikate als auch für ISO/IEC 27001-Zertifikate auf Basis von IT-Grundschutz.
Das gültige Zertifikat muss in diesem Fall als Bestandteil des Nachweises im BSI eingereicht werden.
Bei einer ISO 27001-Zertifizierung ist jedoch nicht automatisch der gesamte, für den Nachweis nach § 8a BSIG relevante Geltungsbereich erfasst. Der Geltungsbereich des Nachweises muss die Kritische Infrastruktur bzw. die kritische Dienstleistung (kDL) vollständig umfassen (Prozess-Sicht).
Zudem ist der Informationssicherheitsprozess bzgl. der kritischen Dienstleistung mit der "KRITIS-Brille" zu betrachten. Die Vermeidung von Versorgungsengpässen in der kritischen Dienstleistung ist im Kontext von KRITIS von sehr hoher Bedeutung. Daher muss die kritische Dienstleistung mit dem Fokus der Vermeidung von Versorgungsengpässen der Bevölkerung betrachtet werden.
Die folgenden Punkte gehen auf die Rahmenbedingungen für die Verwendung von ISO/IEC 27001-Zertifikaten für Nachweise nach § 8a Absatz 3 BSIG ein.
Für jeden dieser Punkte ist bei Verwendung eines ISO 27001-Zertifikats dem BSI gegenüber zu dokumentieren, wie dieser in der Prüfung umgesetzt wurde.
- Abgrenzung Geltungsbereich
Der Geltungsbereich muss die betriebenen Anlagen nach BSI-Kritisverordnung umfassen. Die Schnittstellen sind geeignet festzulegen.
Erweiterter Geltungsbereich
Der Geltungsbereich muss auf ausgelagerte Bereiche erweitert und eine umfassende Sicherheitsbetrachtung aus KRITIS-Sicht durchgeführt werden. Diese kann an ISO/IEC 27001 oder andere vergleichbare Vorgehensweisen angelehnt sein.Bei einer vorhandenen ISO/IEC 27001-Zertifizierung kann diese für einen Nachweis gemäß § 8a Absatz 3 BSIG auf die bisher ungeprüften Teile des Geltungsbereichs ausgeweitet werden. Somit kann eine bzgl. der KRITIS-Schutzziele ergänzende Prüfung des bereits geprüften Bereichs erfolgen. So kann der Nachweis auf Basis des Audits einer Erstzertifizierung, eines Überwachungs- oder Re-Zertifizierungsaudits mit geprüft und Synergieeffekte genutzt werden. Die Prüfergebnisse bilden einen Teil des Nachweises gemäß § 8a Absatz 3 BSIG.
- Berücksichtigung der KRITIS-Schutzziele
Das BSI-Gesetz fordert, für die betriebsrelevanten Teile der jeweiligen Anlagen dem Schutzbedarf entsprechende angemessene Maßnahmen zu ergreifen.
Das Aufrechterhalten der Versorgungssicherheit der Bevölkerung muss das zentrale Anliegen bei der Informationssicherheitsrisikobehandlung sein. Die Anforderungen, die dabei an die Dienstleistungserbringung gestellt werden, werden auch als KRITIS-Schutzziele bezeichnet. Die KRITIS-Schutzziele der betriebsrelevanten Teile sind geeignet festzulegen. Die KRITIS-Schutzziele (z. B. die Verfügbarkeit der kritischen Dienstleistung) sind in die eigene Risikobetrachtung aufzunehmen und durchgängig in allen Prozessen und Maßnahmenumsetzungen zusätzlich zu betrachten ("KRITIS-Brille").
- KRITIS-IT-Schutzbedarf
Deshalb sind im Rahmen des Risikomanagements die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung zu bewerten. Eine rein betriebswirtschaftliche Betrachtung ist in der Regel nicht ausreichend (siehe "Umgang mit Risiken"). Als Anhaltspunkt für das Ausmaß eines Risikos für die Allgemeinheit sollten die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleistung berücksichtigt werden. Bei der Risikobehandlung ist zu berücksichtigen, dass der Aufwand zur Umsetzung der Maßnahmen in angemessenem Verhältnis zum Risikoausmaß für die Bevölkerung steht.
Hinweis: § 8a Absatz 1 BSIG verlangt "[...] Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit [...]". Ein Risikomanagement unter Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit, wie in ISO/IEC 27001 oder IT-Grundschutz des BSI üblich ist möglich, solange sichergestellt ist, dass Authentizität bei der Risikobewertung und Maßnahmenauswahl berücksichtigt wird.
Umgang mit Risiken
Eine rein betriebswirtschaftliche Betrachtung der Risiken und des Schutzbedarfs ist in der Regel nicht ausreichend. Es muss insbesondere das Ausmaß eines Risikos für die Allgemeinheit, d. h. die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleistung berücksichtigt werden. Bei der Maßnahmenauswahl muss auf Angemessenheit geachtet werden, also die möglichen Folgen eines Ausfalls oder einer Beeinträchtigung für die Versorgung der Allgemeinheit im Verhältnis zum Aufwand der Sicherheitsvorkehrungen betrachtet werden.- Risikoakzeptanz
Risiken im Geltungsbereich dürfen gemäß § 8a Absatz 1 BSIG nicht akzeptiert werden, sofern Sicherheitsvorkehrungen nach Stand der Technik möglich und angemessen sind. Erst für das dann noch verbleibende Restrisiko ist eine Risikoakzeptanz möglich. - Versicherbarkeit der Risiken
Ein Transfer der Risiken, z. B. durch Versicherungen, ist kein Ersatz für die Sicherheitsvorkehrungen gemäß § 8a Absatz 1 BSIG. Auch bei Versicherung oder anderem Risikotransfer sind angemessene Sicherheitsvorkehrungen nach Stand der Technik vorzunehmen. Es steht dem KRITIS-Betreiber aber frei, sich zusätzlich zu versichern.
- Risikoakzeptanz
- Maßnahmenumsetzung
Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen im Rahmen der Risikobehandlung umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen, beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan, müssen in die Auflistung der Sicherheitsmängel gemäß § 8a Absatz 3 BSIG aufgenommen werden. Zur Bewertung dieser Mängel sollten auch erklärende Dokumente wie die Mängelbewertung, KVP-Dokumentation und der Umsetzungsplan eingereicht werden.