Cybervize - Cybersecurity Beratung

Den KRITIS-Geltungsbereich richtig schneiden

B3S / KRITIS-NachweisCISOKRITIS-VerantwortlicheISMS ManagerAuditverantwortliche

Kernaussage

Der Geltungsbereich entscheidet über den gesamten KRITIS-Nachweis. Wird er zu eng geschnitten, fehlen dem Nachweis kritische Anlagenteile und er ist angreifbar. Wird er zu weit geschnitten, trägt die Organisation Prüf- und Betriebslast für Bereiche, die rechtlich nicht erfasst sind.

Der zentrale Denkfehler in der Praxis ist die Gleichsetzung von ISMS-Scope und Nachweis-Scope. Ein vorhandener ISMS-Geltungsbereich, etwa der Zertifizierungsbereich eines ISO/IEC-27001-Zertifikats, ist nicht automatisch der richtige Bereich für den KRITIS-Nachweis. Der Nachweis folgt der kritischen Dienstleistung und der kritischen Anlage, die sie erbringt, nicht der Organisationsgrenze, die einmal für ein Zertifikat gezogen wurde.

Für den CISO ist der Scope deshalb kein Formaldetail am Anfang, sondern die wichtigste Steuerungsentscheidung des gesamten Nachweisprojekts.

Problem in der Praxis

Viele Betreiber starten den Nachweis mit der Frage, was bereits zertifiziert oder dokumentiert ist, statt mit der Frage, welche Anlage die kritische Dienstleistung tatsächlich erbringt. Damit wird der Scope von der vorhandenen Dokumentation her gedacht und nicht von der gesetzlichen Logik.

Das fällt spätestens in der Prüfung auf. Eine prüfende Stelle fragt nicht, was im ISMS-Handbuch steht, sondern ob die kritische Anlage und die zu ihrem Betrieb nötigen Systeme, Prozesse und Dienstleister vollständig erfasst sind. Typisch sind dann Lücken an den Rändern: eine Leitwarte, eine Fernwartung, ein zentraler Verzeichnisdienst, eine ausgelagerte Betriebsführung oder eine OT-Komponente liegen außerhalb des dokumentierten Bereichs, gehören aber zur Funktion der Anlage.

Der zweite häufige Fall ist das Gegenteil: Der Betreiber zieht den Bereich vorsichtshalber sehr weit und erklärt das gesamte Unternehmen zum Nachweisgegenstand. Das erzeugt Prüfaufwand und Erwartungen an Bereiche, die mit der kritischen Dienstleistung wenig zu tun haben, und macht den Nachweis träger und teurer als nötig.

CISO-Einordnung

Der Scope lässt sich mit wenigen Leitfragen sauber herleiten:

  • Welche kritische Dienstleistung erbringt das Unternehmen im Sinne der KRITIS-Logik?
  • Welche Anlage erbringt diese Dienstleistung, und wo liegen ihre funktionalen Grenzen?
  • Welche Systeme, Netze und Prozesse sind für die Erbringung und für ihre Verfügbarkeit, Integrität und Vertraulichkeit notwendig?
  • Welche Abhängigkeiten zu IT, OT, Standorten und externen Dienstleistern bestehen?
  • Wo endet der eigene Verantwortungsbereich, und wo beginnt der eines Dritten?

Diese Fragen sind bewusst funktional formuliert. Der KRITIS-Nachweis bezieht sich auf die kritische Anlage und die gesetzlichen Risikomanagement-Pflichten für Betreiber kritischer Anlagen. Maßgeblich ist die Richtung der Ableitung: vom Versorgungsauftrag und der Anlage zur Technik, nicht von einem bestehenden Zertifikatsbereich zurück zur Anlage.

Der ISMS-Scope und der Nachweis-Scope können sich stark überlappen, sind aber nicht dasselbe. Ein ISMS-Geltungsbereich kann breiter sein als die kritische Anlage, etwa weil das Unternehmen weitere Geschäftsfelder absichert. Er kann aber auch enger oder anders geschnitten sein, sodass Teile der kritischen Anlage gar nicht erfasst sind. Genau diese Differenz muss der CISO bewusst ausweisen und steuern.

Umsetzungsperspektive

In der Praxis bewährt sich ein Aufbau in klaren Schritten.

Zuerst wird die kritische Dienstleistung und die zugehörige kritische Anlage anhand der gesetzlichen Sektoren- und Schwellenwertlogik bestimmt. Diese Einordnung ergibt sich aus dem BSI-Gesetz in Verbindung mit der KRITIS-Verordnung. Da deren Anpassung an die aktuelle BSIG-Fassung zu prüfen ist, sollte der jeweils geltende Verordnungsstand für die verbindliche Einordnung herangezogen werden.

Anschließend wird die Anlage funktional abgegrenzt. Hilfreich ist eine Wirkkette von der erbrachten Dienstleistung über die zentralen Prozesse bis zu den unterstützenden Systemen, Netzen und Standorten. Alles, dessen Ausfall die kritische Dienstleistung gefährden würde, gehört in die Betrachtung, auch wenn es organisatorisch in einem anderen Bereich liegt.

Dann werden Abhängigkeiten und ausgelagerte Leistungen erfasst. Fernwartung, Rechenzentrumsbetrieb, Betriebsführung und andere Dienstleisterleistungen bleiben Teil des Nachweisgegenstands, auch wenn sie ausgelagert sind; sie werden über Lieferketten- und Dienstleisteraspekte adressiert.

Erst danach wird der Bereich gegen den bestehenden ISMS-Scope gespiegelt. Wo der ISMS-Bereich die kritische Anlage vollständig trägt, kann er als Grundlage dienen. Wo er enger ist, muss er erweitert oder durch ergänzende, KRITIS-spezifische Prüfaspekte aufgefüllt werden. Ein ISO/IEC-27001-Zertifikat allein deckt den KRITIS-Nachweis nicht automatisch ab; sein Geltungsbereich muss die kritische Anlage und die einschlägigen gesetzlichen Anforderungen vollständig erfassen.

Der Nachweis selbst wird wiederkehrend geführt. Die geltende Fassung des BSI-Gesetzes sieht einen Nachweisturnus von drei Jahren vor; aufgedeckte Sicherheitsmängel sind dem BSI mitzuteilen. Der Scope muss diesen Zyklus tragen, also auch bei Veränderungen der Anlage stabil und nachvollziehbar bleiben.

Typische Fehler

  1. ISMS-Scope und Nachweis-Scope werden gleichgesetzt, ohne die Differenz zu prüfen.
  2. Der Bereich wird von vorhandener Dokumentation oder einem Zertifikat her gedacht statt von der kritischen Anlage.
  3. OT-, Fernwartungs- und Leitsysteme fallen aus dem Bereich, obwohl sie die Anlage betreiben.
  4. Ausgelagerte Betriebsleistungen werden als außerhalb betrachtet, statt sie über Dienstleisteraspekte einzubeziehen.
  5. Der Bereich wird vorsorglich zu weit gezogen und erzeugt unnötige Prüf- und Betriebslast.
  6. Scope-Änderungen durch Umbauten, Migrationen oder Outsourcing werden nicht nachgeführt, sodass der nächste Nachweis nicht mehr passt.

Risiken und Trade-offs

Ein zu enger Scope ist das größere rechtliche Risiko. Fehlen Anlagenteile, ist der Nachweis unvollständig, und Mängel oder Vorfälle können genau in den ausgeklammerten Bereichen entstehen. Ein zu weiter Scope ist vor allem ein Kosten- und Akzeptanzrisiko: Prüfungen werden aufwendiger, und Bereiche ohne KRITIS-Bezug binden Ressourcen.

Ein weiterer Trade-off liegt zwischen Stabilität und Genauigkeit. Ein eng an der heutigen Anlage geschnittener Bereich ist präzise, muss aber bei jeder Veränderung nachgeführt werden. Ein etwas robuster gefasster Bereich überdauert Umbauten besser, kann aber Randbereiche mitnehmen.

Schließlich besteht ein Steuerungsrisiko an der Schnittstelle zu Dienstleistern. Auslagerung verschiebt den Betrieb, nicht die Verantwortung für den Nachweis. Wer diese Grenze unscharf lässt, riskiert Lücken, die erst in der Prüfung sichtbar werden.

Entscheidungspunkte

  • Was ist die kritische Dienstleistung, und welche Anlage erbringt sie konkret?
  • Wo verlaufen die funktionalen Grenzen der Anlage, unabhängig von der Organisationsstruktur?
  • Deckt der bestehende ISMS- oder Zertifikatsbereich die kritische Anlage vollständig ab, oder muss er erweitert werden?
  • Welche ausgelagerten Leistungen gehören in den Nachweisgegenstand und werden über Dienstleisteraspekte abgedeckt?
  • Wie wird der Scope bei Veränderungen der Anlage über den Nachweiszyklus stabil gehalten?

Praktische Empfehlungen

  1. Leiten Sie den Scope von der kritischen Dienstleistung und der Anlage ab, nicht von vorhandener Dokumentation.
  2. Dokumentieren Sie ISMS-Scope und Nachweis-Scope getrennt und weisen Sie die Differenz bewusst aus.
  3. Erfassen Sie OT, Leit- und Fernwartungssysteme sowie zentrale unterstützende Dienste explizit.
  4. Behandeln Sie ausgelagerte Betriebsleistungen als Teil des Nachweisgegenstands über Lieferketten- und Dienstleisteraspekte.
  5. Prüfen Sie verbindliche Sektoren- und Schwellenwertfragen am jeweils geltenden Stand der KRITIS-Verordnung.
  6. Verankern Sie eine Scope-Pflege im Änderungsmanagement, damit der nächste Drei-Jahres-Nachweis tragfähig bleibt.

Relevante Normreferenzen

  • BSI-Gesetz (BSIG) in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes: Rechtsanker für die Risikomanagement-Pflichten der Betreiber kritischer Anlagen und für die Nachweisführung. Die genaue Paragraphenzuordnung (Pflichten, B3S-Vorschlag und -Eignung, Nachweispflicht) ist gegen den jeweils geltenden Gesetzestext zu prüfen; ältere Quellen verweisen noch auf die früheren Paragraphen (insbesondere den früheren Paragraphen 8a BSIG).
  • B3S (Branchenspezifischer Sicherheitsstandard): anerkannte, aber freiwillige Umsetzungs- und Nachweishilfe; das BSI stellt die Eignung fest und erstellt B3S nicht selbst.
  • KRITIS-Verordnung (BSI-KritisV): Sektoren, Anlagenkategorien und Schwellenwerte; Anpassungsstand an die aktuelle BSIG-Fassung zu prüfen.
  • ISO/IEC 27001: methodische Referenz für den ISMS-Aufbau; ein Zertifikat deckt den KRITIS-Nachweis nicht automatisch ab.

Häufige Fragen

Ist der ISMS-Scope automatisch der KRITIS-Nachweis-Scope?+

Nein. Der Nachweis folgt der kritischen Dienstleistung und der kritischen Anlage. Der ISMS- oder Zertifikatsbereich muss daraufhin geprüft werden, ob er die Anlage vollständig trägt.

Deckt ein ISO/IEC-27001-Zertifikat den KRITIS-Nachweis ab?+

Nicht automatisch. Der Geltungsbereich des Zertifikats muss die kritische Anlage und die einschlägigen gesetzlichen Anforderungen vollständig erfassen; oft sind ergänzende, KRITIS-spezifische Prüfaspekte nötig.

Gehören ausgelagerte Leistungen in den Scope?+

Ja. Auslagerung verschiebt den Betrieb, nicht die Verantwortung. Fernwartung, Rechenzentrumsbetrieb und Betriebsführung werden über Lieferketten- und Dienstleisteraspekte einbezogen.

Was ist das größere Risiko, ein zu enger oder ein zu weiter Scope?+

Ein zu enger Scope ist rechtlich riskanter, weil er Lücken im Nachweis erzeugt. Ein zu weiter Scope ist vor allem ein Kosten- und Akzeptanzproblem.

Wie oft muss der Nachweis geführt werden?+

Die geltende Fassung des BSI-Gesetzes sieht einen Drei-Jahres-Turnus vor. Der konkrete Termin und Übergangsregelungen sind am Gesetzestext zu prüfen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen B3S / KRITIS-Nachweis prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: b3s-005.