Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Beratung von KRITIS-Betreibern

Neutrale Beratung durch das BSI

Das BSI kann gemäß § 3 Absatz 3 BSIG Betreiber Kritischer Infrastrukturen (KRITIS) auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen. Die Beratung durch das BSI erfolgt vertraulich und herstellerneutral. Das BSI ist verpflichtet, den KRITIS-Betreibern die entstandenen Kosten gemäß BMI-Kostenverordnung in Rechnung zu stellen.

Ziel der Beratung

Schwerpunkt der Beratung durch das BSI sind die spezifischen Herausforderungen für die Informationssicherheit im jeweiligen Einsatzszenario des Kunden. Die Beratung schließt regelmäßig Empfehlungen zum Einsatz von Produkten zur Förderung der Informationssicherheit ein.

Mit Hilfe der Beratung durch das BSI wird der Kunde in die Lage versetzt, selbstständig oder unter Zuhilfenahme weiterer externer Dienstleister die für seinen Einsatzzweck und seine individuellen Gegebenheiten bestmöglichen Lösungen zu finden und nachhaltig umzusetzen.

Abgrenzung der Beratung von Betreuung und Nachweisprüfung

KRITIS-Betreiber sind gemäß § 8a Absatz 3 BSIG verpflichtet, dem BSI die Umsetzung angemessener Sicherheitsmaßnahmen nachzuweisen. In diesem Zusammenhang handelt das BSI als Aufsichtsbehörde, während das BSI im Zusammenhang mit der Beratung einen kooperativen Ansatz verfolgt.

Für alle Beteiligten ist es wichtig, dass die im jeweiligen Zusammenhang vom BSI wahrgenommene Rolle klar erkennbar ist.

Es muss insbesondere sichergestellt sein, dass es zu keinen Überschneidungen bei der Beratung von Betreibern zur Gestaltung von Informationssicherheit (Kooperation) und der Bewertung von Sicherheitsmaßnahmen durch das BSI (Aufsicht) kommt.

Dies wird insbesondere durch eine strikte Trennung des für Beratungs- bzw. Prüftätigkeiten eingesetzten Personals aufseiten des BSI erreicht: BSI-Mitarbeiter, die eine Beratung bei einem KRITIS-Betreiber durchgeführt haben, können nicht zur Bewertung oder Prüfung der bei den betreffenden KRITIS-Betreibern umgesetzten Sicherheitsmaßnahmen eingesetzt werden.

Im Unterschied zur Beratung erfolgt die regelmäßige Betreuung von KRITIS-Betreibern auf einem höheren Abstraktionsniveau und ist weniger individuell. Sie umfasst folgende Tätigkeitsbereiche:

  • Die Bereitstellung von Orientierungshilfen, Leitlinien, Empfehlungen, Auslegungshilfen und Anwendungshinweisen zur Umsetzung der abstrakten Vorgaben des BSIG.
  • Die Durchführung von Informationsveranstaltungen und Workshops für KRITIS-Betreiber.
  • Die Beantwortung von Anfragen von KRITIS-Betreibern zu Problemen mit der Umsetzung des BSIG und die Diskussion von Lösungsmöglichkeiten.
  • Der Austausch mit KRITIS-Betreibern oder ihren Verbänden, um aktuelle Vorhaben, Herausforderungen und mögliche Lösungen zu besprechen. Hierzu gehört insbesondere der Austausch über Planungen und Innovationen im Bereich der KRITIS-Anlagen und deren potenziellen Auswirkungen auf die Informationssicherheit der kritischen Dienstleistung (kDL).

BSI und KRITIS-Betreiber profitieren von der gezielten Betreuung

Der kontinuierliche Austausch im Rahmen der Betreuung durch das BSI dient auch dazu, die Sektorkompetenz und das Fachwissen im BSI zu Kritischen Infrastrukturen in enger Kooperation mit den KRITIS-Betreibern zu vertiefen.

Die gezielte Betreuung von KRITIS-Betreibern erzeugt einen erheblichen Mehrwert, sowohl für das BSI als auch für die KRITIS-Betreiber. Die KRITIS-Betreuung ist für die KRITIS-Betreiber nicht kostenpflichtig, da die hieraus resultierende Qualitätsverbesserung der Nachweise dazu beiträgt, die seitens des BSI für die Bewertung und Prüfung von Nachweisen eingesetzten Ressourcen zu verringern.

Kontakt zum KRITIS-Büro

Ähnliche Themen

Zurück zu Service für KRITIS-Betreiber

Kurz-URL:
https://www.bsi.bund.de/dok/kritis-beratung