KRITIS-Prüfungen

NIS2 und KRITIS-Dachgesetz

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz werden sich die Nachweispflichten betroffener Unternehmen in den nächsten Jahren ändern. Die Nachweis­pflichten haben sich in Entwürfen mehrmals geändert – aktuell mit einem 3-Jahres­zyklus für Betreiber (KRITIS) und Stichproben bei den Einrichtungen, wahrscheinlich ab 2025.

Betreiber kritischer Anlagen müssen Nachweise für die Umsetzung von Maßnahmen nach §§30-31 alle drei Jahre durch Prüfungen und Audits erbringen. Das BSI hat die Befugnis, von sich aus Betreiber kritischer Anlagen als besonders wichtige Einrichtung zu prüfen. §63 (5)

Einrichtungen müssen dem BSI die Umsetzung der Maßnahmen nicht regelmäßig nachweisen, das BSI kann Einrichtungen aber zu Prüfungen verpflichten, Nachweise verlangen und selbst mit Tiefenprüfungen prüfen (lassen). §63

Prüfplanung

Vor der Prüfung

Vor KRITIS-Nachweisprüfungen müssen von KRITIS-Betreibern grundlegende Entscheidungen und Vorbereitungen zum Ablauf und Scope der §8a BSIG-Nachweisprüfung getroffen werden:

• Zeiten und Termine: Zeitplanung der Prüfungshandlungen in den registrierten Anlagen mit betroffenen Personen, Interviews, Begehungen, Bereitstellung von Unterlagen, Fristen.
• Zu prüfende Anlagen: Festlegung, welche Anlagen im Betrieb in den Prüfzyklus der KRITIS-Betroffenheit fallen und vom Prüfer geprüft werden müssen.
• Betroffene Standorte: Analyse, welche Standorte von Anlagen und vom Betreiber in der Prüfung untersucht werden (müssen), bzw. im KRITIS-Geltungsbereich sind.
• Betroffene Bereiche: Analyse, welche Betriebsbereiche durch die Prüfung betroffen sind — IT, Produktion, Sicherheit — und wieviel Zeit und Vorbereitung Betreiber einplanen müssen.
• Inhaltliche Schwerpunkte: Festlegung im Prüfprogramm oder anhand aktueller Ereignisse, welche IT-Systeme oder Security-Aspekte Schwerpunkte im aktuellen Prüfzyklus sind.
• Audit-Preparation: Vorbereitung der KRITIS-Prüfung in der Organisation und den Fachbereichen, Sammlung von Nachweisen, Übungen und Test­durchläufe der Prüfungen.

Die Vorbereitung, Koordinierung und Steuerung der Prüfung kann beim Betreiber von einer eigenen KRITIS-Organisation als Projekt-Organisation oder Stabsstelle verantwortet werden.

Auswahl der KRITIS-Prüfer

Die §8a BSIG-Nachweisprüfungen bei KRITIS-Betreibern dürfen nur von einem bestimmten Prüferkreis durchgeführt werden — den prüfenden Stellen. Diese müssen durch das BSI festgelegte Voraussetzungen erfüllen und ihre Eignung und die des Prüfteams nachweisen.

Als Teil der eigenen Prüfungsplanung wählen Betreiber geeignete KRITIS-Prüfer aus dem Kreis der prüfenden Stellen aus und beauftragen diese. Die prüfende Stelle wiederum stellt das Prüfteam mit den notwendigen Qualifikationen zusammen.

Prüfgrundlage und Standards

Die Prüfgrundlage bestimmt das methodische und inhaltliche Vorgehen in der §8a BSIG-Nachweisprüfung der KRITIS-Anlage(n). Der Betreiber legt die Prüfgrundlage zusammen mit dem Prüfer fest — das Vorgehen muss dem BSI die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen in den KRITIS-Anlagen demonstrieren können.

Es gibt verschiedene Möglichkeiten für KRITIS-Prüfgrundlagen — von Branchenstandards (B3S) über berufsständische Vorgaben bis zu Kriterien des BSI selbst.

Was passiert in der Prüfung?

In der §8a BSIG Nachweisprüfung prüfen KRITIS-Prüfer bei KRITIS-Betreibern die Schutz­maßnahmen der Kritischen Infrastrukturen in den gemeldeten KRITIS-Anlagen. Dazu führen die Prüfer Prüfhandlungen durch, um vorhandene Cyber Security Maßnahmen zu bewerten.

In der KRITIS-Prüfung sind in den Audit Sessions folgende Aspekte wichtig:

• Teilnehmer: Prüfer und die geprüften Fachbereiche, Experten und IT
• Themen: KRITIS, Cyber Security, Risiko-Management, IT und Steuerung
• Prüfhandlungen: Interviews, Dokumenten-Reviews, Nachweise und Protokolle

Anforderungen

Das formelle Vorgehen in der Prüfung ist vom BSI in Anforderungen nach §8a (5) BSIG seit 2023 normativ definiert. Die Anforderungen legen Vorgaben zum Vorgehen (Prüfschritte, Vier-Augen-Prinzip), zu Nachweisdokumenten (verbindliche Nutzung der BSI-Vorlagen), zum Umgang mit Mängeln und zur Dokumentation im Prüfbericht fest.

Methodik

Das Prüfvorgehen einer KRITIS-Prüfung teilt sich üblicherweise in mehrere Phasen auf — abhängig von der Prüfgrundlage, KRITIS-Sektor und dem ausführenden KRITIS-Prüfteam. Das BSI hat hierzu ab 2024 ein neues Schulungskonzept mit Methodik für KRITIS-Prüfungen entwickelt.

Prüfverfahrenskompetenz

Das BSI stellt die neue Schulung für KRITIS-Prüfer zur §8a (1) Prüfverfahrenskompetenz als Community Draft zur Verfügung. Die Schulung wurde, basierend auf den Erfahrungen der letzten Jahre, neu konzipiert, um die Qualität der Prüfungen und Nachweise zu erhöhen. Die Prüfung betrachtet im aktuellen Draft Kritische Anlagen (KRITIS) und umfasst in Modulen:

• Grundlagen Kritischer Infrastrukturen
• Prüfvorgehen und Planung
• Grundlagenprüfung, Angemessenheits- und Wirksamkeitsprüfung
• Berichtswesen, Mängel

Das BSI sammelt zum Community Draft (PDF) Feedback und muss für Prüfungen und Schulungen ab 2025 noch einige Entscheidungen treffen (Übergangsfristen, Zertifizierungen, Prüfer). Neue Themen aus NIS2 und KRITIS-Dachgesetz sollen zukünftig behandelt werden.

Was wird geprüft?

Prüfer untersuchen Kritische Infrastrukturen in KRITIS-Prüfungen in der Regel in drei Phasen:

1Grundlagen: Untersuchung des Geltungsbereichs der KRITIS-Anlage. Der Prüfer sollte die Funktion der KRITIS-Anlage und dazugehöriger Prozesse und IT nachvollziehen können.
2Angemessenheit von IT-Sicherheit: Prüfung, ob die genannten Maßnahmen geeignet und angemessen sind, um die IT- und Sicherheitsrisiken der KRITIS-Anlagen zu reduzieren.
3Wirksamkeit von Kontrollen: Auswahl und Untersuchung von Stichproben, ob die Kontrollen für IT-Sicherheit wirklich wirksam waren und umgesetzt wurden (Effektivität).

Grundlagen­prüfung

In der Grundlagen­prüfung — der ersten Phase der Prüfung (noch vor der tatsächlichen Haupt­prüfung) — untersuchen die Prüfer das Vorgehen und die Definitionen des Betreibers in seinen KRITIS-Anlagen und der Prüfung.

1. Geltungsbereich: Prüfung, ob der Geltungsbereich vollständig und im Sinne von KRITIS verständlich ist — kann die KRITIS-Anlage nachvollzogen werden? Das BSI hat Empfehlungen und Erfahrungen aus der Praxis an Geltungsbereiche publiziert.
2. Verantwortung: Klärung der grundlegenden Verantwortungen beim Betreiber zum Thema KRITIS und Anlagen mit der Geschäftsführung und KRITIS-Leitung.
3. Prüfplanung: Analyse und Bewertung der Prüfplanung des Betreibers für die KRITIS-Prüfung inkl. der Prüfgrundlage (GAiN, B3S, BSI), Control Set usw.
4. Vorgehen: Dabei sprechen die Prüfer mit den KRITIS-Verantwortlichen beim Betreiber und prüfen KRITIS-Unterlagen und Dokumentationen.

Angemessenheits­prüfung

In der Angemessenheits­prüfung — der zweiten Phase der Prüfung — beurteilen die Prüfer die Angemessenheit von Sicherheits­maßnahmen und Kontrollen beim Betreiber in der KRITIS-Anlage — die Planung und Umsetzung von Maßnahmen.

1. Prüfer-Soll vs. Betreiber-Ist: Aufnahme des Ist-Zustandes der IT-Sicherheit in der KRITIS-Anlage und Abgleich mit dem Soll-Zustand der gewählten Prüfgrundlage.
2. Angemessenheit von Kontrollen: Prüfung und Beurteilung, ob Sicherheits­maßnahmen angemessen geplant und umgesetzt sind — werden KRITIS-Risiken organisiert gemindert?
3. Vorgehen: In dieser Phase sprechen die Prüfer mit den IT- und Prozess-Verantwortlichen sowie Control Ownern und prüfen die Dokumentationen von Sicherheits­maßnahmen und IT.

Wirksamkeits­prüfung

In der Wirksamkeits­prüfung, der wichtigsten Phase der Prüfung, untersuchen die Prüfer die Umsetzung und Effektivität der Cyber Security Maßnahmen in der KRITIS-Anlage.

1. Durchführung: Prüfung, ob die Kontrollen (Sicherheits­maßnahmen) wie vorgesehen durchgeführt werden — funktionieren die Kontrollen und erreichen sie ihr Kontrollziel?
2. Nachvollziehbarkeit: Untersuchung, ob die Durchführung der Kontrollen durch Dritte nach­vollzogen werden kann – finden sich Nachweise in Systemen, Protokollen oder Logs?
3. Stichproben: Prüfer wählen für die Kontrollen nach Parametern (Grundgesamtheit, Frequenz, Risiko) Stichproben aus und bewerten diese auf Abweichungen.
4. Vorgehen: Dabei untersuchen Prüfer Nachweise aus Systemen und Tests, analysieren die Daten von Kontrollen in IT-Systemen und vollziehen Änderungen nach.

In der Prüfung

Prüfhandlungen

In der Prüfung können folgende Prüfhandlungen vom Prüfteam durchgeführt werden:

• Interviews: Strukturierte Gespräche mit Verantwortlichen beim Betreiber zu bestimmten Themen (Anlagen, Prozesse, IT) und Kontrollen.
• Review von Dokumenten: Prüfung von Unterlagen auf Vollständigkeit, Inhalt und formelle Korrektheit (Dokumenten­lenkung, Versionen, Daten, Änderungen)
• Review von Controls: Prüfung der Planung und Umsetzung von Maßnahmen durch Einsicht in IT-Systeme und Nachvollzug von Prozessen
• Review von Nachweisen: Prüfung von Protokollen, Log-Dateien, Auswertungen, Statistiken
• Begehung: Prüfung der Zustände vor Ort in Anlagen, Rechenzentren und Geschäftsräumen

Themen

Themen, die in Security-Prüfungen häufig abgefragt und getestet werden — dies ist jedoch stark vom gewählten KRITIS-Sicherheitsstandard und der Prüfgrundlage abhängig.

• Governance: Prozesse, Rollen und Vorgaben, die beim Betreiber in der KRITIS-Anlage das Management von Informations­sicherheit (ISMS), Risiken, Business Continuity (BCM) und IT-Notfall­management und KRITIS verankern und selbst überprüfen und verbessern.
• Angriffserkennung und Schwachstellen: Prozesse und Systeme zur Detektion von Angriffen, Vorfällen und Schwachstellen, und zur Reaktion, Überprüfung und Behebung, ab 2023 stark erweitert um die Orientierungshilfe Angriffserkennung (OH SzA)
• Technische IT-Sicherheit: Themen rund um technische und IT-Sicherheits­maßnahmen: Hardware, sicherer IT-Betrieb, Software, Betriebssysteme, Entwicklungs­prozesse
• Schnittstellen: Netzübergänge, Firewalls, externe Zugänge, remote Access und VPN
• Personal und Physische Sicherheit: Zugangs- und Zutritts­berechtigungen und deren Management (IAM), Schutz­maßnahmen von Gebäuden, Anlagen, Energie/Klima, Perimeter
• Externe: Themen rund um Risiken und Steuerung von externen Mitarbeitern, Lieferanten und Dienstleistern (IT-Provider) in der KRITIS-Anlage, samt Berechtigungen und Verträge

Die Bewertung der Sicherheitsorganisation und Maßnahmenumsetzung muss ab 2025 mit einer einheitlichen Reife- und Umsetzungsgradbewertung erfolgen.

Teilnahme

An den einzelnen Terminen von KRITIS-Prüfungen nehmen üblicherweise folgende Gruppen teil, in unterschiedlicher Zusammensetzung:

• Das Prüfteam mit den KRITIS-Prüfern: Prüfungs­leiter und Prüfer
• Sicherheits­management zu zentralen Themen wie ISMS, Governance, Risiken, Kontrollen
• Geprüfte Fachbereiche mit Ansprechpartnern und Experten zu Prozessen und Anlagen
• IT und Betrieb mit Ansprechpartnern und Experten zu IT-Systemen und Anwendungen
• Koordinatoren der Prüfung, Compliance und KRITIS-Verantwortliche, falls vorhanden

Nachweise und Einreichung

Am Ende der Prüfung steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben. Die Prüfer bilden sich über Mängel ihr Prüfurteil und dokumentieren im Prüfbericht.

Die Nachweisdokumente mit Formularen und Anhängen werden von KRITIS-Prüfer und Betreiber und dann vom Betreiber ans BSI übermittelt, dabei kann es zu Rückfragen kommen. Als Ergebnis von KRITIS-Prüfungen gibt es kein Zertifikat durch die Prüfer oder das BSI.

Nach der Prüfung müssen die Mängel behoben und Umsetzung und weitere Prüfungen organisiert werden.

Literatur und Links

1. Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, Oktober 2024
2. Qualifizierung von Personen zur Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG (PDF), Schulungsunterlagen, Bundesamt für Sicherheit in der Informationstechnik, September 2024
3. Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
4. FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik
5. Erfolgreich Nachweise einreichen, Bundesamt für Sicherheit in der Informationstechnik, o.D.
6. Ereignisse über das MIP melden, Bundesamt für Sicherheit in der Informationstechnik, o.D
7. Anleitung zur Mängel-Dokumentation in der Mängelliste, Bundesamt für Sicherheit in der Informationstechnik, 19.02.2024
8. Nachweise gemäß § 8a Absatz 3 BSIG, Ist für Finanzunternehmen, die unter DORA fallen, ab dem 17. Januar 2025 die Abgabe eines KRITIS-Nachweises ... erforderlich?, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik, Januar 2025