Ein spezifisches Konformitätsprofil (SKP) des ENS (spanisches nationales Sicherheitssystem) ist eine Reihe von Sicherheitsmaßnahmen, die das Nationale Kryptologische Zentrum für einen bestimmten Sektor oder Einrichtungstyp validiert und veröffentlicht. Es stützt sich auf Artikel 30 des RD 311/2022 und das Verhältnismäßigkeitsprinzip, um die Anpassung pragmatischer zu gestalten, ohne das erforderliche Sicherheitsniveau zu senken.

Was ist ein spezifisches Konformitätsprofil des ENS?

Infografik: Spezifische Konformitätsprofile des ENS (SKP)
Infografik: Spezifische Konformitätsprofile des ENS (SKP). Eigene Erstellung — Summum Marketing.

Wenn eine Einrichtung die Anpassung an das ENS (spanisches nationales Sicherheitssystem) angeht, besteht der übliche Ansatz darin, vom vollständigen Katalog der Anhang-II-Maßnahmen auszugehen und nach der Risikoanalyse zu bestimmen, welche je nach Systemkategorie anwendbar sind. Das ist der richtige Ansatz, aber auch ein umfangreicher, und er zwingt jede Organisation, denselben Interpretationsweg immer wieder zu gehen. Hier kommen die spezifischen Konformitätsprofile ins Spiel.

Ein spezifisches Konformitätsprofil (SKP) ist einfach ausgedrückt ein maßgeschneidertes ENS für eine bestimmte Gruppe: kleine Gemeinden, Gesundheitszentren, Zahlstellen für Agrarmittel, Einrichtungen im Geltungsbereich der NIS2-Richtlinie usw. Anstatt dass jede Einrichtung dieser Gruppe den Katalog von Grund auf interpretiert, legt das Nationale Kryptologische Zentrum (CCN) fest, welche Maßnahmen und Verstärkungen für diesen Organisationstyp und eine bestimmte Sicherheitskategorie geeignet sind, und veröffentlicht dies in einem CCN-STIC-Leitfaden.

Die offizielle Definition ist recht präzise: Ein SKP ist eine Reihe von Sicherheitsmaßnahmen — ob im Königlichen Dekret 311/2022 enthalten oder nicht —, die infolge der obligatorischen Risikoanalyse für eine bestimmte Einrichtung oder einen bestimmten Tätigkeitssektor und für eine bestimmte Sicherheitskategorie anwendbar sind. Zwei Ideen aus diesem Satz verdienen es, behalten zu werden: Das SKP geht immer von der Risikoanalyse aus (es ersetzt sie nicht) und kann Maßnahmen über die des Anhangs II hinaus einschließen, wenn der Sektor dies erfordert.

Was ist die Rechtsgrundlage der SKP?

Spezifische Konformitätsprofile des ENS (SKP)
Foto: Jorge Lascar (CC BY 2.0)

Die Grundlage der spezifischen Konformitätsprofile ist Artikel 30 des Königlichen Dekrets 311/2022 vom 3. Mai, das das ENS (spanisches nationales Sicherheitssystem) regelt. Dieser Artikel trägt den Titel „Spezifische Konformitätsprofile und Akkreditierung von Einrichtungen zur Implementierung sicherer Konfigurationen" und ermächtigt ausdrücklich zu dieser Figur.

Der Text von Artikel 30 legt fest, dass im Rahmen des Verhältnismäßigkeitsprinzips und mit dem Ziel einer wirksamen und effizienten Anwendung des ENS auf bestimmte Einrichtungen oder Tätigkeitssektoren spezifische Konformitätsprofile implementiert werden können. Dem CCN wird eine Doppelfunktion zugewiesen: die definierten spezifischen Konformitätsprofile zu validieren und zu veröffentlichen. Ein SKP ist also kein Dokument, das irgendjemand eigenständig erstellen kann; es hat einen kompetenten Herausgeber und einen Validierungsprozess dahinter.

Wie unterscheidet sich ein SKP von der allgemeinen Anpassung?

SKP versus allgemeine ENS-Anpassung
Aspekt Allgemeine Anpassung Anpassung mit SKP
Ausgangspunkt Vollständiger Anhang-II-Katalog Bereits für den Sektor oder Einrichtungstyp eingegrenzter Maßnahmensatz
Anwendbarkeitsbestimmung Vollständig von der Einrichtung durchgeführt Bereits im CCN-STIC-Leitfaden begründet und priorisiert
Risikoanalyse Obligatorisch Obligatorisch (das SKP ersetzt sie nicht)
Erforderliches Sicherheitsniveau Das der Kategorie entsprechende Dasselbe: Das SKP senkt das Niveau nicht
Maßnahmen über Anhang II hinaus Nur wenn das Risiko es rechtfertigt Kann sie einbeziehen, wenn der Sektor es erfordert
Interpretationsaufwand Hoch Reduziert und homogen unter Einrichtungen der Gruppe

Was sind die Vorteile eines SKP?

  • Pragmatischere Anpassung. Die Einrichtung beginnt nicht mit einem leeren Blatt: Sie hat einen vom CCN für ihren Organisationstyp begründeten Ausgangspunkt.
  • Homogenität innerhalb des Sektors. Wenn alle Gemeinden einer Einwohnerkategorie dasselbe Profil anwenden, werden Lösungen, Dokumente und Kriterien vergleichbar und wiederverwendbar.
  • Geringere Projektkosten. Da der Großteil der Anwendbarkeitsanalyse bereits erledigt ist, konzentriert sich der Beratungs- und Dokumentationsaufwand auf das, was wirklich spezifisch für jede Einrichtung ist.
  • Bessere Ausrichtung auf die Zertifizierung. Da das SKP vom CCN validiert und veröffentlicht wurde, hat die Zertifizierungsstelle einen klaren Referenzrahmen.
  • Vorlagen und Hilfsanhänge. Viele SKP-Leitfäden enthalten Anhänge für Risikoanalyse, Sicherheitspolitik, Kategorisierung, Anwendbarkeitserklärung und Sensibilisierungsplan.

Welche spezifischen Konformitätsprofile wurden veröffentlicht?

Orientierender Katalog der vom CCN veröffentlichten SKP
Profil / Gruppe CCN-STIC-Leitfaden Für wen es gilt
Allgemeiner SKP-Rahmen 890-Serie (890A, 890C) Dokumentiert das Konzept und die wesentlichen Sicherheitsanforderungen für die ENS-Anpassung
Sehr kleine Gemeinden CCN-STIC 883A Gemeinden mit weniger als ca. 5.000 Einwohnern
Kleine Gemeinden CCN-STIC 883B Gemeinden mit weniger als 20.000 Einwohnern
Mittelgroße Gemeinden CCN-STIC 883C Gemeinden zwischen 20.000 und 75.000 Einwohnern
Provinzräte CCN-STIC 883D Übergemeinschaftliche Einrichtungen und Provinzräte
Gesundheitssektor CCN-STIC 891 Patientenversorgung: Primär- und Fachversorgung
Zahlstellen CCN-STIC 852 Zahlstellen für europäische Agrarmittel

Gibt es ein SKP für kleine Gemeinden?

Ja, und es ist wahrscheinlich der am weitesten verbreitete Anwendungsfall. Kleine Gemeinden sind bei weitem die Einrichtungen, die am meisten von den spezifischen Konformitätsprofilen profitieren, da sie in der Regel wenig technisches Personal und ein knappes Budget für Cybersicherheit haben. Die CCN-STIC-883-Serie organisiert diese Profile nach Einwohnerkategorien.

Der Ansatz nach Einwohnerkategorien hat eine klare Logik: Es ist nicht vernünftig, von einer Gemeinde mit 2.000 Einwohnern dasselbe zu verlangen wie von einer mit 60.000. Das Profil 883A ist daher für die kleinsten Gemeinden konzipiert, 883B für die mit weniger als 20.000 Einwohnern und 883C für den mittleren Bereich bis 75.000. Provinzräte, die oft gemeinsame Dienste für mehrere Gemeinden erbringen, haben ihr eigenes Profil im 883D.

Gibt es Profile für Sektoren wie das Gesundheitswesen?

Ja. Über die Kommunalwelt hinaus hat das CCN Profile für bestimmte Tätigkeitssektoren veröffentlicht. Das repräsentativste ist das des Gesundheitssektors, das im Leitfaden CCN-STIC 891 behandelt wird und auf die Patientenversorgung in der Primär- und Fachversorgung ausgerichtet ist.

Dieses Gesundheitsprofil ist ein gutes Beispiel dafür, wie ein SKP über den Anhang II hinausgehen kann, wenn der Sektor es rechtfertigt: Es umfasst Sicherheitsmaßnahmen — ob im Königlichen Dekret 311/2022 enthalten oder nicht —, die nach der Risikoanalyse für die Gesundheitsversorgung anwendbar sind.

Wie wird ein spezifisches Konformitätsprofil angewendet?

  1. Das anwendbare Profil identifizieren. Feststellen, ob Ihre Organisation in eine Gruppe mit einem veröffentlichten SKP passt, und den entsprechenden CCN-STIC-Leitfaden finden.
  2. Die Systeme kategorisieren. Die Sicherheitskategorie (Basis, Mittel oder Hoch) der betroffenen Systeme bestimmen.
  3. Die Risikoanalyse durchführen. Sie ist obligatorisch und das SKP ersetzt sie nicht.
  4. Die Anwendbarkeitserklärung erstellen. Ausgehend von den Maßnahmen, die das Profil bereits priorisiert, dokumentieren, welche gelten, wie und warum.
  5. Umsetzen und dokumentieren. Technische und organisatorische Maßnahmen einsetzen und den dokumentarischen Nachweis hinterlassen, den die Prüfung verlangen wird.
  6. Prüfen und zertifizieren. Für mittlere und hohe Kategorien prüft die Zertifizierungsprüfung die tatsächliche Konformität gegenüber dem Profil und dem ENS.

Häufig gestellte Fragen

Was ist ein spezifisches Konformitätsprofil des ENS?

Es ist eine Reihe von Sicherheitsmaßnahmen — ob im Königlichen Dekret 311/2022 enthalten oder nicht —, die nach der obligatorischen Risikoanalyse für einen bestimmten Sektor oder Einrichtungstyp und für eine bestimmte Sicherheitskategorie geeignet sind. Das CCN validiert und veröffentlicht es in einem CCN-STIC-Leitfaden, gestützt auf Artikel 30 des RD 311/2022 und das Verhältnismäßigkeitsprinzip.

Was sind die Vorteile eines SKP?

Es macht die Anpassung pragmatischer: Die Einrichtung beginnt mit einem für ihre Gruppe bereits begründeten Maßnahmensatz, was die Interpretationskosten senkt, Lösungen innerhalb des Sektors homogenisiert und besser zur Zertifizierung passt. Es senkt jedoch nicht das erforderliche Sicherheitsniveau und ersetzt nicht die Risikoanalyse.

Wie wird ein Konformitätsprofil angewendet?

Das anwendbare Profil identifizieren, die Systeme kategorisieren, die obligatorische Risikoanalyse durchführen (die das SKP nicht ersetzt), die Anwendbarkeitserklärung ausgehend von den priorisierten Maßnahmen erstellen, umsetzen und dokumentieren, und schließlich für mittlere und hohe Kategorien prüfen und zertifizieren.

Quellen