Buffl
Buffl
Modul 4

CySi

JH
by Jonas H.

Was bedeutet KRITIS?

Was betrifft es ?

kritische Infrastruktur

Betriebe bei denen Störungen mehr als 500k Menschen beeinflussen würde.

Grundeversorgung

                           Energie

                           Wasser

                           Ernährung

                           Gesundheit

Versorgung

                           Transport und Verkehr

                           Entsorgung

 

Dienstleistungen

                           IT und TK

                           Finanzen und Versicherungen

Aktuelle Regelwerke und Vorgaben zur Cybersicherheit



Ablaufdiagram



1 Ermittlung der relevanten Systeme

Schnittstellen der Einrichtungen ?




Schritt 3 Festlegung von Cybersicherheitsmaßnahmen ?

Festgelegte Maßnahmen nach TRBS 1115-1 Abschnitt 4.5.2


Bewertungspunkte bei der Prüfung (entsprechend BA-017):

  • Kann die Dokumentation eindeutig zugeordnet werden und wurde vom Betreiber erstellt und / oder unterschrieben?

  • Verfügt der Betreiber über ein Cybersicherheitsmanagement?

  • Wurden die sicherheitsrelevanten Systeme und deren Cybersicherheitsrelevanz erfasst?

  • Gibt es zu einzelnen Komponenten Herstellererklärungen oder ein Dokument über die vollständige Systemzertifizierung der gesamten Anlage? Wenn ja, sind die dort geforderten Maßnahmen in die Dokumentation des Betreibers eingeflossen?

  • Wurde analysiert, ob es durch eine Cyberbedrohung zu einer Gefährdung kommen kann oder welche Auswirkung es haben könnte?

  • Hat der Betreiber Cybersicherheitsmaßnahmen und einen Prozess zur Aufrechterhaltung des Schutzniveaus festgelegt?


Nenne Bedeutung der Schutzlevel?



Nenne beide Stufen der Strategie

Stufe 1:

• Materialen und Infos für Kunden kostenlos

• Als Hilfestellung Webseite mit FAQs und Infos veröffentlicht

• Aus DEKRA-Sicht hat die „Bezahllösung“ die Akzeptanz am

Markt geschwächt und konstruktive Diskussion mit den Herstellern

negativ vorbelastet, daher „sanften“ Einstieg ins Thema anvisiert


Stufe 2: Einführung bei der DEKRA entsprechend BA-017, aber passiver Ansatz

• Denn Interpretationsspielraum der TRBS 1115-1 sollte vor Erstellung von Unterlagen

final geklärt sein (evtl. noch Änderungen in 2024/2025 möglich?)

• Beschlüsse des EK ZÜS B-002 rev.3 & BA-017 erst am 13.05.2024 veröffentlicht und somit offiziell für ZÜS und Betreiber verfügbar

• Bestmögliche Integration der Beschlüsse in neue Vorlagen / Kundeninformation, damit

der Betreiber keine doppelte Arbeit hat

Bewertungspunkte bei der Prüfung (entsprechend BA-017)?

Kann die Dokumentation eindeutig zugeordnet werden

und wurde vom Betreiber erstellt und / oder unterschrieben?

• Verfügt der Betreiber über ein Cybersicherheitsmanagement?

• Wurden die sicherheitsrelevanten Systeme und deren Cybersicherheitsrelevanz

erfasst?

• Gibt es zu einzelnen Komponenten Herstellererklärungen oder ein Dokument

über die vollständige Systemzertifizierung der gesamten Anlage? Wenn ja, sind die dort

geforderten Maßnahmen in die Dokumentation des Betreibers eingeflossen?

• Wurde analysiert, ob es durch eine Cyberbedrohung zu einer Gefährdung kommen kann

oder welche Auswirkung es haben könnte?

• Hat der Betreiber Cybersicherheitsmaßnahmen und einen Prozess zur Aufrechterhaltung

des Schutzniveaus festgelegt?

Join Course
Preview

Author

Jonas H.

Information

Last changed

Report course
© 2023 Buffl GmbH