Hugendubel.info - Die B2B Online-Buchhandlung 

Merkliste
Die Merkliste ist leer.
Bitte warten - die Druckansicht der Seite wird vorbereitet.
Der Druckdialog öffnet sich, sobald die Seite vollständig geladen wurde.
Sollte die Druckvorschau unvollständig sein, bitte schliessen und "Erneut drucken" wählen.
E-BookEPUB0 - No protectionE-Book
402 Seiten
Deutsch
Rheinwerk Verlag GmbHerschienen am08.04.20241. Auflage
In diesem Leitfaden erfahren Sie, was Ihre Pflichten als Betreiber einer kritischen Infrastruktur sind, was Sie in der Nachweisprüfung erwartet und wie Sie sich ideal darauf vorbereiten. Auditoren hilft dieses Handbuch mit Infos zur zusätzlichen Prüfverfahrenskompetenz und Anleitungen zur eigenständigen Durchführung von KRITIS-Audits.
Jacqueline Naumann begleitet Sie durch die Verordnungen und Orientierungshilfen des BSIs und erklärt praxisnah, was hinter den Anforderungen steckt.

Aus dem Inhalt:

Die Kritisverordnung
Die IT-Sicherheitskataloge
Die Unterstützung durch das BSI
Die Orientierungshilfen des BSI
Vorgaben an die Nachweisprüfung
Ihre Pflichten als KRITIS-Betreiber
Einen Branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen
Planung der Nachweisprüfung durch den Betreiber
Vorarbeiten für die Nachweisprüfung durch Prüfer
Die Nachweisprüfung durchführen
Aus der Praxis: Prüfung der eingereichten Nachweise durch das BSI
Untersuchung zu Umfang und Komplexität der Nachweisprüfung
Zusätzliche Prüfverfahrenskompetenz nach dem BSIG



Jacqueline Naumann ist studierte Informatikerin und war knapp zwanzig Jahre im IT-Umfeld beschäftigt, bevor sie sich 2015 als Trainer, Auditor und Berater für Informationssicherheit selbstständig machte. Sie schult seit 2016 Sicherheitsbeauftragte und Auditoren zur ISO/IEC 27001. Seit 2017 zertifiziert Naumann nach ISO/IEC 27001 und IT-Sicherheitskatalog für Zertifizierungsgesellschaften. Sie schult seit 2018 zur »Zusätzlichen Prüfverfahrenskompetenz für § 8a BSIG« und führt Nachweisprüfungen nach § 8a BSIG für unterschiedliche Sektoren durch. Im Oktober 2020 wurde Naumann erstmals vom BSI zum IT-Grundschutz-Berater zertifiziert. Seit 2021 ist sie geschäftsführende Gesellschafterin der iXactly GmbH in Dresden.mehr
Verfügbare Formate
BuchGebunden
EUR69,90
E-BookEPUB0 - No protectionE-Book
EUR69,90

Produkt

KlappentextIn diesem Leitfaden erfahren Sie, was Ihre Pflichten als Betreiber einer kritischen Infrastruktur sind, was Sie in der Nachweisprüfung erwartet und wie Sie sich ideal darauf vorbereiten. Auditoren hilft dieses Handbuch mit Infos zur zusätzlichen Prüfverfahrenskompetenz und Anleitungen zur eigenständigen Durchführung von KRITIS-Audits.
Jacqueline Naumann begleitet Sie durch die Verordnungen und Orientierungshilfen des BSIs und erklärt praxisnah, was hinter den Anforderungen steckt.

Aus dem Inhalt:

Die Kritisverordnung
Die IT-Sicherheitskataloge
Die Unterstützung durch das BSI
Die Orientierungshilfen des BSI
Vorgaben an die Nachweisprüfung
Ihre Pflichten als KRITIS-Betreiber
Einen Branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen
Planung der Nachweisprüfung durch den Betreiber
Vorarbeiten für die Nachweisprüfung durch Prüfer
Die Nachweisprüfung durchführen
Aus der Praxis: Prüfung der eingereichten Nachweise durch das BSI
Untersuchung zu Umfang und Komplexität der Nachweisprüfung
Zusätzliche Prüfverfahrenskompetenz nach dem BSIG



Jacqueline Naumann ist studierte Informatikerin und war knapp zwanzig Jahre im IT-Umfeld beschäftigt, bevor sie sich 2015 als Trainer, Auditor und Berater für Informationssicherheit selbstständig machte. Sie schult seit 2016 Sicherheitsbeauftragte und Auditoren zur ISO/IEC 27001. Seit 2017 zertifiziert Naumann nach ISO/IEC 27001 und IT-Sicherheitskatalog für Zertifizierungsgesellschaften. Sie schult seit 2018 zur »Zusätzlichen Prüfverfahrenskompetenz für § 8a BSIG« und führt Nachweisprüfungen nach § 8a BSIG für unterschiedliche Sektoren durch. Im Oktober 2020 wurde Naumann erstmals vom BSI zum IT-Grundschutz-Berater zertifiziert. Seit 2021 ist sie geschäftsführende Gesellschafterin der iXactly GmbH in Dresden.
Details
Weitere ISBN/GTIN9783836297608
ProduktartE-Book
EinbandartE-Book
FormatEPUB
Format Hinweis0 - No protection
Erscheinungsjahr2024
Erscheinungsdatum08.04.2024
Auflage1. Auflage
ReiheRheinwerk Computing
Seiten402 Seiten
SpracheDeutsch
Dateigrösse30082 Kbytes
Artikel-Nr.12465566
Rubriken
Genre9200

Inhalt/Kritik

Inhaltsverzeichnis
Materialien zum Buch ... 13
Einleitung ... 15
Wie Ihnen dieses Buch helfen kann -- und was es nicht ist ... 17
Der Weg durch das Buch ... 19
Danksagung ... 23
Teil I. Gesetzliche Anforderungen und Begriffe im KRITIS-Umfeld ... 27
1. Geschichtliche Hintergründe zur Nachweisprüfung ... 29

1.1 ... UP KRITIS ... 42
1.2 ... Das IT-Sicherheitsgesetz von 2015 ... 47
1.3 ... Das Gesetz zur Umsetzung der NIS-Richtlinie ... 60
1.4 ... Das IT-Sicherheitsgesetz 2.0 ... 64
1.5 ... Die NIS-2-Richtlinie ... 72
1.6 ... Das BSI-Gesetz (BSIG) ... 75

2. Die Kritisverordnung ... 81

2.1 ... Kritische Infrastrukturen ... 81
2.2 ... Die Erarbeitung der Kritisverordnung ... 82
2.3 ... Begriffe und Definitionen ... 84
2.4 ... Sektoren nach dem BSIG ... 87
2.5 ... Anlagenkategorien für kritische Dienstleistungen ... 101
2.6 ... Anhänge zu den Sektoren ... 102
2.7 ... Welche Betreiber fallen unter das BSIG? ... 112
2.8 ... Unternehmen im besonderen öffentlichen Interesse (UBIs) ... 114

3. Die IT-Sicherheitskataloge (IT-SiKat) für den Sektor Energie ... 117

3.1 ... Die Bundesnetzagentur (BNetzA) ... 119
3.2 ... Das Energiewirtschaftsgesetz (EnWG) ... 120
3.3 ... Die IT-Sicherheitskataloge ... 122
3.4 ... Die ISO/IEC 27019 -- Steuerungssysteme der Energieversorgung ... 130

Teil II. Bedeutung und Verantwortung des BSI für Kritische Infrastrukturen ... 135
4. Die Unterstützung durch das BSI ... 137

4.1 ... Die Gewährleistungsverantwortung gegenüber der Bevölkerung ... 143
4.2 ... Die Meldestelle für Informationssicherheitsvorfälle ... 144
4.3 ... Erstellung von Lagebildern und Weiterleitung von Information an die KRITIS-Betreiber ... 145
4.4 ... Informations- und Meldeflüsse nach dem BSIG ... 152

5. Die Orientierungshilfen (OH) des BSI ... 159

5.1 ... OH zum Aufbau eines branchenspezifischen Sicherheitsstandards (B3S) ... 159
5.2 ... OH zu Systemen zur Angriffserkennung (SzA) ... 161
5.3 ... OH zu Nachweisen (für Prüfer) ... 163

6. Vorgaben an die Art und Weise von Nachweisprüfungen ... 169

6.1 ... Registrierung als KRITIS-Betreiber ... 171
6.2 ... Das Melde- und Informationsportal (MIP) ... 171
6.3 ... Der Nachweisprozess ... 176
6.4 ... Die Vorgabedokumente im Nachweisprozess ... 177

Teil III. Pflichten und Möglichkeiten des KRITIS-Betreibers ... 197
7. Ihre Pflichten als KRITIS-Betreiber ... 199

7.1 ... Der Geltungsbereich für die kritische Dienstleistung ... 200
7.2 ... Organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ... 210
7.3 ... Systeme zur Angriffserkennung (SzA) ... 215
7.4 ... Interne Audits ... 222
7.5 ... Melden von Informationssicherheitsvorfällen, Störungen und Ausfällen ... 223
7.6 ... Gemeinsame übergeordnete Ansprechstelle (GÜAS) ... 224

8. Einen branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen ... 227

8.1 ... Aufbau eines B3S mithilfe der OH B3S ... 227
8.2 ... Einen B3S beim BSI einreichen ... 232
8.3 ... Eignungsfeststellung des BSI ... 235
8.4 ... Aktuell veröffentlichte B3S ... 236
8.5 ... Vorteile und Nachteile vorhandener B3S ... 238

Teil IV. Die Nachweisprüfung gemäß § 8a Abs. 3 BSIG ... 239
9. Planung der Nachweisprüfung durch den Betreiber ... 241

9.1 ... Auswahl einer Prüfstelle ... 241
9.2 ... Anforderungen an eine prüfende Stelle ... 242
9.3 ... Eignung als prüfende Stelle ... 243

10. Vorarbeiten für die Nachweisprüfung durch Prüfer ... 247

10.1 ... Welche Prüfgrundlagen können wir einsetzen? ... 248
10.2 ... Kompetenzbereiche und Aufteilung im Prüfteam ... 257
10.3 ... Fachexperten auswählen und einsetzen ... 258
10.4 ... Die Prüfungsplanung durch die Prüfstelle ... 260
10.5 ... Auswahl von Stichproben ... 264
10.6 ... Berücksichtigung externer Dienstleister ... 266
10.7 ... Die Mängelkategorien des BSI ... 267

11. Die Nachweisprüfung durchführen ... 271

11.1 ... Audit von Managementsystemen nach der ISO 19011 ... 272
11.2 ... Arbeitsschutz für Auditoren ... 275
11.3 ... Remote-Audits ... 277
11.4 ... Mögliche Prüfmethoden ... 282
11.5 ... Verwendung bestehender Zertifikate ... 283
11.6 ... Prüfung der branchenspezifischen Maßnahmen ... 287
11.7 ... Prüfung des BCMS ... 291
11.8 ... Aktualität der BSI-Formulare und OHs beim Prüfteam ... 297

12. Nacharbeiten nach der Nachweisprüfung ... 301

12.1 ... Aufgaben des Prüfers ... 302
12.2 ... Aufgaben des Betreibers ... 316

13. Prüfung der eingereichten Nachweise durch das BSI ... 329

13.1 ... Nachforderung von Dokumenten ... 329
13.2 ... Eskalation bei Unvollständigkeit ... 331
13.3 ... Sonderprüfungen nach dem BSIG ... 332
13.4 ... Nachprüfung wegen zu kleinem Geltungsbereich ... 333
13.5 ... Bußgelder ... 334

Teil V. Aus der Praxis -- in die Praxis ... 339
14. Untersuchung zu Umfang und Komplexität der Nachweisprüfung ... 341

14.1 ... Die BSI-Studie zur Umsetzung der IT-Sicherheitsgesetze ... 342
14.2 ... Studie zu Nachweisprüfungen nach BSIG ... 344

15. Zusätzliche Prüfverfahrenskompetenz nach dem BSIG ... 377

15.1 ... Weiterbildung und schriftliche Prüfung ... 377
15.2 ... Überprüfung Ihrer Antworten ... 378

16. Fazit und Ausblick ... 385
Literaturverzeichnis ... 389
Index ... 395mehr
Leseprobe


Der Weg durch das Buch

Dieser Abschnitt soll Ihnen zeigen, wie Sie sich in diesem Buch zurechtfinden.

Das Buch ist in fünf Hauptthemen unterteilt und umfasst insgesamt sechzehn Kapitel. Den ersten Schwerpunkt des Buches legte ich auf die gesetzlichen Anforderungen für unsere Nachweisprüfungen und auf die Einführung von Begriffen und Regelwerken.

Als ich an diesem Buch arbeitete, entwickelte sich nach und nach ein Prozessverständnis, das ich als doppelten Reformprozess für Kritische Infrastrukturen bezeichne und Ihnen in Abbildung 1 zeige.

Anhand dieses Reformprozesses kann ich Ihnen gut erklären, welche Dinge es für Kritische Infrastrukturen und KRITIS-Betreiber bereits gibt und wo wir uns befinden.

Im ersten Teil des Buches starte ich auf der linken Seite von Abbildung 1, die ich öffentlichen Reformprozess nenne. Dort beginnt jeder Verbesserungskreislauf mit Artikelgesetzen, deren Paragrafen in Gesetze überführt werden und durch Verordnungen ihre Macht entfalten.

Abbildung 1     Doppelter Reformprozess für Kritische Infrastrukturen

Diese Kraft der Verordnungen schwappt hinüber in den wirtschaftlichen Verbesserungskreislauf, fordert von den Sektoren die unterschiedlichsten Umsetzungen und mündet in regelmäßige Nachweisprüfungen. Mein Ziel ist es, diesen fast letzten Aspekt im doppelten Reformprozess erfolgreich beenden zu können.

Sie erkennen: Anschließend müssen Entscheidungen getroffen werden, die bis in die öffentlichen Verbesserungen durch Evaluierungen führen können. Jeder Reformprozess kann für sich allein kontinuierlich verbessert werden. Doch neue Verordnungen zwingen die Wirtschaft zum Handeln, und Ergebnisse aus Nachweisprüfungen führen zu Entscheidungen auf Wirtschafts- und öffentlicher Seite.

Zu Teil I, »Gesetzliche Anforderungen und Begriffe im KRITIS-Umfeld«, gehören die ersten drei Kapitel.

Kapitel 1, »Geschichtliche Hintergründe zur Nachweisprüfung«, beginnt mit einem Rückblick auf die letzten fast fünfunddreißig Jahre. Ich beginne mit der Gründung des BSI, in der ich den späteren offiziellen Start aller Nachweisprüfungen für KRITIS-Betreiber in Deutschland sehe.

In Kapitel 2, »Die Kritisverordnung«, erläutere ich die Begriffe rund um Kritische Infrastrukturen und die BSI-Kritisverordnung. Die Kritisverordnung legt für Sie als Betreiber den Grundstein, um zu bestimmen, ob Sie als Kritische Infrastruktur gelten und Nachweise beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einreichen müssen oder nicht.

Kapitel 3, »Die IT-Sicherheitskataloge (IT-SiKat) für den Sektor Energie«, rückt für Betreiber und Prüfer im Sektor Energie die IT-Sicherheitskataloge und deren Verwendung in den Fokus. Mit diesem Kapitel endet der Rückblick und somit der erste Teil des Buches.

Den zweiten Schwerpunkt des Buches lege ich auf die Bedeutung und Verantwortung des BSI. Auch dieser Teil II des Buches umfasst drei Kapitel:

In Kapitel 4, »Die Unterstützung durch das BSI«, können Sie sich einen Überblick über die Aufgaben des BSI verschaffen. Ich stütze mich dabei auf die öffentlich zugänglichen Informationen und begrenze die Schwerpunkte auf eine Analyse der Sicherheitslage in Deutschland und die Warnung der Betreiber. Bei der Auswahl dieser Themen habe ich diejenigen Paragrafen aus dem BSI-Gesetz (BSIG) stärker gewichtet, die Aufgaben für das BSI definieren. Natürlich ist dies nur ein kleiner Ausschnitt aus den BSI-Aufgaben.

Nachdem das BSI drei Orientierungshilfen (OH) für Betreiber und Prüfer veröffentlichte, erläutere ich diese in Kapitel 5, »Die Orientierungshilfen (OH) des BSI«, um Ihnen Hilfestellungen und Orientierung im Nachweisprozess zu geben.

Das BSIG gibt dem BSI die Befugnisse, Vorgaben für die Art und Weise von Nachweisprüfungen zu definieren. In Kapitel 6, »Vorgaben an die Art und Weise von Nachweisprüfungen«, bereitete ich diese Vorgaben in Form von Dokumenten und Vorlagen für Sie auf, um Ihnen die Vorbereitung und Durchführung von Nachweisprüfungen zu vereinfachen. In diesem Kapitel beschäftigen wir uns auch mit den grundsätzlichen Anforderungen im Nachweisprozess (GAiN). Mit dem sechsten Kapitel endet der zweite Teil des Buches.

Den dritten Schwerpunkt des Buches legte ich auf die Pflichten und Möglichkeiten der KRITIS-Betreiber. Dieser Teil III, »Pflichten und Möglichkeiten des KRITIS-Betreibers«, umfasst zwei Kapitel.

In Kapitel 7, »Ihre Pflichten als KRITIS-Betreiber«, zeige ich Ihnen, welche Aufgaben auf Sie als Betreiber einer kritischen Infrastruktur zukommen. Wir sehen uns in diesem Kapitel beispielsweise die Bestimmung des Geltungsbereiches, das Risikomanagement, die Systeme zur Angriffserkennung und die Gemeinsame übergeordnete Ansprechstelle (GÜAS) genauer an.

Weil die Möglichkeit besteht, als Betreiber auch an einem Branchenspezifischen Sicherheitsstandard (B3S) mitzuwirken und diesen durch das BSI bestätigen zu lassen, zeige ich Ihnen in Kapitel 8, »Einen branchenspezifischen Sicherheitsstandard (B3S) veröffentlichen«, wie ein B3S erstellt werden könnte und welche Schritte nötig sind, um ihn als offizielle Prüfgrundlage beim Betreiber einsetzen zu können. Mit dem achten Kapitel endet Teil III des Buches.

Kommen wir nun zum vierten Themenschwerpunkt des Buches, der eigentlichen Nachweisprüfung nach dem BSIG. Teil IV, »Die Nachweisprüfung gemäß § 8a Abs. 3 BSIG«, umfasst fünf Kapitel.

In Kapitel 9, »Planung der Nachweisprüfung durch den Betreiber«, gehe ich auf die Planung einer Nachweisprüfung durch die KRITIS-Betreiber ein, und in Kapitel 10, »Vorarbeiten für die Nachweisprüfung durch Prüfer«, zeige ich Ihnen, welche Schritte vor einer Nachweisprüfung durch die Prüfstelle umgesetzt werden müssen.

Zu diesen Vorarbeiten gehören beispielsweise die Auswahl und Definition einer Prüfgrundlage, die Bestimmung der notwendigen Prüfer-Kompetenzen, die Prüfplanung nach GAiN, die Auswahl von Stichproben und die Berücksichtigung von externen Dienstleistern.

Sind dann alle Vorarbeiten abgeschlossen, kann die Durchführung der Prüfung beginnen. Diese erläutere ich Ihnen in Kapitel 11, »Die Nachweisprüfung durchführen«. Zur Prüfdurchführung gehören beispielsweise Remote Audits, die unterschiedlichen Prüfmethoden, die Berücksichtigung bestehender ISO/IEC 27001-Zertifikate, die Prüfung branchenspezifischer Maßnahmen und des Notfallmanagements (BCMS). Auch die Aktualität der Nachweisdokumente besprechen wir im elften Kapitel.

In Kapitel 12, »Nacharbeiten nach der Nachweisprüfung«, geht es um die Arbeiten, die Prüfer und Betreiber nach einer abgeschlossenen Nachweisprüfung erledigen müssen. Die Nacharbeiten beginnen für Prüfer mit der Bewertung der ISMS- und BCMS-Reifegrade sowie mit den SzA-Umsetzungsgraden.

Zu den Nacharbeiten für Betreiber gehören die Umsetzungsplanung für Maßnahmen und die Selbsterklärung für die AWV-UBI (Außenwirtschaftsverordnung-UBI, UBI 1). Zuletzt erkläre ich in diesem Kapitel, wie Betreiber die Nachweise an das BSI übermitteln oder wie die Zertifizierungsstellen ihre Nachweise an die Bundesnetzagentur (BNetzA) weiterleiten.

In Kapitel 13, »Prüfung der eingereichten Nachweise durch das BSI«, zeige ich Ihnen, was Sie als Betreiber nach Einreichung Ihrer Unterlagen vom BSI möglicherweise noch an Eskalationen, Nachforderungen oder Sonderprüfungen erwarten dürfen. Auch auf Bußgelder kommen wir in diesem Kapitel zu sprechen.

Der Teil IV des Buches endet mit dem dreizehnten Kapitel und somit mit dem Abschluss der Nachweisprüfung.

Im fünften und letzten Teil des Buches lege ich den Schwerpunkt auf Erfahrungen aus der Praxis und wie Sie als zukünftige Nachweisprüfer in die Praxis hineinfinden. Teil V, »Aus der Praxis - in die Praxis«, umfasst drei Kapitel.

In Kapitel 14, »Untersuchung zu Umfang und Komplexität der Nachweisprüfung«, zeige ich Ihnen die Ergebnisse aus meiner Untersuchung zur Komplexität von Nachweisprüfungen im Sommer 2023. Dieses Kapitel beginnt mit einem Vergleich der BSI-Studie vom Winter/Frühjahr 2023 zur Umsetzung der IT-Sicherheitsgesetze mit den Ergebnissen meiner Studie.

Anschließend habe ich für alle, die zukünftig selbst Nachweisprüfungen durchführen möchten und den Kompetenznachweis dafür benötigen, in...

mehr

Autor

Jacqueline Naumann ist studierte Informatikerin und war knapp zwanzig Jahre im IT-Umfeld beschäftigt, bevor sie sich 2015 als Trainer, Auditor und Berater für Informationssicherheit selbstständig machte.
Sie schult seit 2016 Sicherheitsbeauftragte und Auditoren zur ISO/IEC 27001.
Seit 2017 zertifiziert Naumann nach ISO/IEC 27001 und IT-Sicherheitskatalog für Zertifizierungsgesellschaften.
Sie schult seit 2018 zur »Zusätzlichen Prüfverfahrenskompetenz für § 8a BSIG« und führt Nachweisprüfungen nach § 8a BSIG für unterschiedliche Sektoren durch.
Im Oktober 2020 wurde Naumann erstmals vom BSI zum IT-Grundschutz-Berater zertifiziert.
Seit 2021 ist sie geschäftsführende Gesellschafterin der iXactly GmbH in Dresden.