BAIT und KRITIS

Die BaFin hat nun die BAIT um das Modul KRITIS ergänzt. In diesem Informationsblog erhalten Sie aktuelle S&P News zu:

  • BAIT und KRITIS – Modul 9: Kritische Infrastruktur
  • BAIT und KRITIS- Aufstellung eines Inventars mit Komponenten der kritischen Infrastruktur
  • KRITIS-Schutzziel – Konzepte der Hochverfügbarkeit – Versorgungssicherheit
  • BAIT und KRITIS – Nachweis KRITIS-Schutzziele für die Jahresabschlussprüfung

 

BAIT und KRITIS

 

BAIT und KRITIS

Dieses Modul richtet sich – im Kontext mit den anderen Modulen der BAIT und den sonstigen einschlägigen bankaufsichtlichen Anforderungen in Bezug auf die Sicherstellung angemessener Vorkehrungen zur Gewährleistung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationsverarbeitung – eigens an die Betreiber kritischer Infrastrukturen (KRITIS-Betreiber).
Es ergänzt insoweit die bankaufsichtlichen Anforderungen an die IT um Anforderungen an die wirksame Umsetzung besonderer Maßnahmen zum Erreichen des KRITIS-Schutzziels.

Als KRITIS-Schutzziel wird nachfolgend das Bewahren der Versorgungssicherheit der Gesellschaft mit den in § 7 BSI-Kritisverordnung genannten kritischen Dienstleistungen (Bargeldversorgung, kartengestützter Zahlungsverkehr, konventioneller Zahlungsverkehr sowie Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften) verstanden, da deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen könnte. Für kritische Dienstleistungen sind von den jeweiligen KRITIS-Betreibern (und im Falle von Auslagerungen zusätzlich von ihren IT-Dienstleistern) geeignete Maßnahmen zu beschreiben und wirksam umzusetzen, die die Risiken für den sicheren Betrieb kritischer Infrastrukturen auf ein dem KRITIS-Schutzziel angemessenes Niveau senken.

Hierzu müssen sich die KRITIS-Betreiber sowie ihre IT-Dienstleister an den einschlägigen Standards orientieren und Konzepte der Hochverfügbarkeit berücksichtigen. Dabei soll der Stand der Technik eingehalten werden.
Dieses Modul kann optional verwendet werden, um im Rahmen einer Jahresabschlussprüfung den Nachweis nach § 8a Abs. 3 BSIG zu erbringen. Dazu müssen alle informationstechnischen Systeme, Komponenten oder Prozesse der kritischen Infrastrukturen in der Prüfung komplett abgedeckt sein. Alternativ können die KRITIS-Betreiber einen unternehmensindividuellen Ansatz verfolgen oder einen branchenspezifischen Sicherheitsstandard (B3S) gemäß § 8a Abs. 2 BSIG
erstellen. Der Nachweis gemäß § 8a Abs. 3 BSIG ist in diesen Fällen unter Hinzuziehung einer geeigneten prüfenden Stelle (siehe einschlägige FAQ auf der BSI-Website) zu erstellen.

 

BAIT und KRITIS – Aufstellung eines Inventars mit Komponenten der kritischen Infrastruktur

Der Geltungsbereich der kritischen Infrastrukturen innerhalb des Informationsverbundes ist eindeutig zu kennzeichnen. Hierbei sind alle relevanten Schnittstellen einzubeziehen. Alle einschlägigen Anforderungen der BAIT und der sonstigen aufsichtlichen
Anforderungen sind nachvollziehbar auch auf alle Komponenten und Bereiche der kritischen Dienstleistung anzuwenden. Kritische Dienstleistungen sind angemessen zu überwachen. Mögliche Auswirkungen von Sicherheitsvorfällen auch auf die kritischen Dienstleistungen sind zu bewerten.

Dies kann bspw. erfolgen, indem im Inventar entsprechend Tz. 46 BAIT (beispielsweise in einer Configuration Management Database CMDB) die Komponenten und Bereiche des Informationsverbundes zusätzlich gekennzeichnet werden, die zu den kritischen Infrastrukturen gehören. Der Bezug zu den jeweiligen zu prüfenden Anlagenkategorien des KRITIS-Betreibers ist darzustellen.
Durch geeignete Maßnahmen ist sicherzustellen, dass die für die kritischen Dienstleistungen betriebsrelevanten Systeme einer resilienten Architektur unterliegen.

 

KRITIS-Schutzziel – Konzepte der Hochverfügbarkeit – Versorgungssicherheit

Im Rahmen des Informationsrisiko- und Informationssicherheitsmanagements gemäß den BAIT-Modulen 3. und 4. ist das KRITIS-Schutzziel zu beachten und Maßnahmen zu dessen Einhaltung wirksam umzusetzen. Insbesondere sind Risiken, die die kritischen Dienstleistungen in relevantem Maße beeinträchtigen können, durch angemessene Maßnahmen der Risikominderung oder -vermeidung auf ein dem KRITIS-Schutzziel angemessenes Niveau zu senken. Hierzu sind insbesondere solche Maßnahmen geeignet, mit denen den Risiken für die Verfügbarkeit bei einem hohen und sehr hohen Schutzbedarf begegnet werden kann. Unter anderem sollten daher Konzepte der Hochverfügbarkeit geprüft und soweit geeignet, angewandt werden.

Grundsätzlich sind für Risiken geeignete Maßnahmen zur Mitigation zu treffen. Dabei soll der Stand der Technik eingehalten werden. Hierbei ist allerdings die Angemessenheit zu wahren: Der erforderliche Aufwand soll im
Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur stehen. Dies bedeutet, dass Risiken zwar auch akzeptiert oder übertragen werden können, dies aber nicht allein nach betriebswirtschaftlichen
Gesichtspunkten entschieden werden darf, sondern nur unter Gewährleistung der Versorgungssicherheit. Risiken, die die kritische Dienstleistung betreffen, dürfen beispielsweise nicht akzeptiert werden, sofern Vorkehrungen nach dem Stand der Technik
möglich und angemessen sind. Auch ein Transfer der Risiken, z. B. durch Versicherungen, ist kein Ersatz für angemessene Vorkehrungen. Der Abschluss einer Versicherung, z.B. aus betriebswirtschaftlichem Interesse, steht dem nicht entgegen.

 

BAIT und KRITIS – Nachweis KRITIS-Schutzziele für die Jahresabschlussprüfung

Das KRITIS-Schutzziel ist von der Schutzbedarfsermittlung über die Definition angemessener Maßnahmen bis hin zur wirksamen Umsetzung dieser Maßnahmen einschließlich der Implementierung und des regelmäßigen Testens entsprechender
Notfallvorsorgemaßnahmen stets mit zu berücksichtigen.

Insbesondere ist dies bei den folgenden Aspekten zu beachten:
1. Das KRITIS-Schutzziel ist auch bei Auslagerungen von Dienstleistungen entsprechend §§ 25a, 25b KWG i. V. m. AT 9 und AT 5 Tz. 3. f) MaRisk sowie Modul 8. BAIT zu berücksichtigen.
2. Im Rahmen der Notfallvorsorge sind Maßnahmen zu ergreifen, mit denen die kritischen Dienstleistungen auch im Notfall aufrechterhalten werden können.

Die Nachweiserbringung gemäß § 8a Abs. 3 BSIG bzgl. der Einhaltung der Anforderungen gemäß § 8a Abs. 1 BSIG kann im Rahmen der Jahresabschlussprüfung erfolgen. Der KRITIS-Betreiber hat die einschlägigen Nachweisdokumente fristgerecht
beim BSI einzureichen, entsprechend den jeweils gültigen Vorgaben des BSI.

Bei der Nachweiserbringung im Rahmen der Jahresabschlussprüfung sollte die Einhaltung der Anforderungen gemäß § 8a Abs. 1 BSIG durch den KRITIS-Betreiber erstmals auf den Jahresabschluss 2018 referenziert werden und ist anschließend mindestens alle zwei Jahre gegenüber dem BSI nachzuweisen. Neben der Prüfung im Rahmen des Jahresabschlusses sind weitere Möglichkeiten zur Nachweiserbringung zulässig. Die KRITIS-Betreiber sollten entsprechend die „Orientierungshilfe zu Nachweisen gemäß § 8a Abs. 3 BSIG“ in der jeweils aktuellen Fassung beachten.

 

BAIT veröffentlicht – Das Wichtigste auf einen Blick

 

Pin It on Pinterest

Share This