Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Dokument „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN)“ veröffentlicht. Es legt fest, wie Reife- und Umsetzungsgrade im Kontext der § 8a BSIG-Nachweisprüfung bewertet werden. Die neuen Kriterien schaffen mehr Transparenz und vereinheitlichen die Nachweiserbringung gegenüber dem BSI.
Die aktuellen KRITIS-Nachweise beinhalten bereits eine Bewertung der Reifegrade der Managementsysteme zur Informationssicherheit (ISMS) und Geschäftskontinuität (BCMS) sowie des Umsetzungsgrades der eingesetzten Systeme zur Angriffserkennung, die jeweils durch die prüfende Stelle vorgenommen wird.
Im Zusammenhang mit der neu vorgestellten Methode zur Ermittlung von Reife- und Umsetzungsgraden kommen folgende Themenbereiche hinzu, für die im Rahmen der turnusmäßig zu erbringenden Nachweise künftig ebenfalls der jeweilige Umsetzungsgrad festgestellt werden soll:
- Organisatorische Maßnahmen (OrgM)
- Personenbezogene Maßnahmen (PerM)
- Physische Maßnahmen (PhyM)
- Technische Maßnahmen (TecM).
Den neuen Themenbereichen wurden konkrete Maßnahmen zugeordnet, wobei Spielraum für individuelle oder sektorspezifische Anpassungen bleibt.
Mit der Einführung der RUN verfolgt das BSI das Ziel, den Betreibern bzw. prüfenden Stellen eine einheitliche Bewertungsgrundlage zu bieten und Handlungsbedarfe gezielt aufzuzeigen.
Die neuen Vorgaben gelten für Prüfungen mit einem Ende der Prüfung nach dem 1. April 2025.
Download.
Bild/Quelle: https://depositphotos.com/de/home.html