Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte im Januar das Dokument „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN)“. Darin wird festgelegt, wie Reife- und Umsetzungsgrade im Kontext der § 8a BSIG-Nachweisprüfung bewertet werden. Die neuen Kriterien sollen für mehr Transparenz sorgen und die Nachweiserbringung gegenüber dem BSI für Betreiber und prüfende Stellen vereinheitlichen. Die neuen Vorgaben gelten für Prüfungen, die nach dem 1. April 2025 abgeschlossen werden.
Die aktuellen KRITIS-Nachweise umfassen bereits eine Bewertung der Reifegrade der Managementsysteme für Informationssicherheit (ISMS) und Geschäftskontinuität (BCMS) sowie des Umsetzungsgrades der eingesetzten Systeme zur Angriffserkennung, die jeweils durch die prüfende Stelle vorgenommen wird.
Im Zusammenhang mit der neu vorgestellten Methode zur Ermittlung von Reife- und Umsetzungsgraden kommen folgende Themenbereiche hinzu, für die im Rahmen der turnusmäßig zu erbringenden Nachweise künftig ebenfalls der jeweilige Umsetzungsgrad festgestellt werden soll:
• Organisatorische Maßnahmen (OrgM)
• Personenbezogene Maßnahmen (PerM)
• Physische Maßnahmen (PhyM)
• Technische Maßnahmen (TecM)
Den neuen Themenbereichen wurden konkrete Maßnahmen zugeordnet, wobei Spielraum für individuelle oder sektorspezifische Anpassungen bleibt.
Ich begrüße die Entwicklung, dass das BSI nun Reifegradbewertungen für alle Themenbereiche einführt. Audits sind oft nicht schwarz oder weiß – besonders in komplexen Organisationen und Umgebungen. Allerdings habe ich das Gefühl, dass diese Änderung Betreiber de-facto dazu drängt, die KdA ("Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 und Absatz 1a BSIG umzusetzenden Maßnahmen") zu verwenden und individuelle Prüfgrundlagen immer mehr in den Hintergrund rücken, da weitere Mappings auf die RUN notwendig werden, um den Reifegrad entsprechend zu melden. Ob dies am Ende des Tages unbeabsichtigte Konsequenzen hat, wird sich zeigen.
Jan Kemper, Head of Security Audits
Mit der Einführung der RUN verfolgt das BSI das Ziel, den Betreibern bzw. prüfenden Stellen eine einheitliche Bewertungsgrundlage zu bieten und Handlungsbedarfe gezielt aufzuzeigen.
Ich finde gut, dass das BSI die KRITIS-Prüfung weiter standardisieren möchte und mit den RUN einen Schritt in diese Richtung geht. Die Reifegrade an sich sind dabei sehr deterministisch an den vom BSI definierten Maßnahmen festgelegt. Durch das konkrete Mapping werden sie damit zum De-Facto-Standard. Es dürfen zwar weiterhin andere Grundlagen genutzt werden, diese müssen dann aber wiederum ein Mapping zu den BSI-Anforderungen haben, damit sich die Reifegrade berechnen lassen. Dieser De-Facto-Standard ist aus unserer Sicht als Prüfer etwas Positives, da nun eine verpflichtende und damit einheitliche Prüfgrundlage besteht, die um branchenspezifische Kontrollen erweitert werden kann.
Vinzent Ratermann, Experte für die IT-Sicherheit Kritischer Infrastrukturen
Wenn Sie Unterstützung oder Beratung zu Ihrem KRITIS-Audit benötigen, kontaktieren Sie uns. Wir helfen Ihnen gerne.
