Ergebnisse BSIG-Prüfungen

Das Ergebnis von BSIG-Nachweis­prüfungen ist eine Einschätzung der IT-Sicherheit in Kritischen Infrastrukturen durch KRITIS-Prüfer. Die Prüfer bewerten die in der Prüfung gewonnenen Erkenntnisse und stellen Abweichungen als Mängel fest. Die Einschätzungen werden im Prüfbericht dokumentiert und vom Betreiber in den offiziellen Nachweis­dokumenten an das BSI berichtet.

Die vom Betreiber eingereichten Nachweise werden durch das BSI geprüft, wobei es zu Rückfragen kommen kann. Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch Cyber Security Maßnahmen behoben werden und können durch Prüfer oder das BSI bis zum oder im nächsten Prüfzyklus erneut getestet werden.

Folgende Nachweisdokumente und Vorlagen spielen in KRITIS-Prüfungen eine Rolle:

Dokument Inhalt Vorlage Verfasser Einreichung
Nachweisdokument KI Informationen KRITIS-Anlage BSI Betreiber
Nachweisdokument P Ergebnis Prüfung BSI Prüfer
Anlage PD.A Geltungsbereich + Netzstrukturplan - Betreiber
Anlage PD.B Prüfplan BSI Prüfer
Anlage PD.C Prüfgrundlage - Prüfer
Anlage PE.A Mängelliste BSI Prüfer
Anlage PS.A Nachweis Prüfkompetenz - Prüfer
Anlage PS.B Unabhängigkeitserklärung - Prüfer
Prüfbericht Dokumentation Prüfvorgehen - Prüfer
Nachweise Evidenzen, Protokolle, Logs - Prüfer

Am Ende der Prüfung

Nachweis­dokumente

Die wichtigsten Unterlagen sind die Nachweis­dokumente, in denen Prüfer die Ergebnisse der BSIG-Prüfung eintragen. Die BSI-Formulare sind in zwei Dokumenten mit Anhängen zusammen­gefasst, für die es teilweise Vorlagen vom BSI gibt. Die Dokumente werden zusammen mit den Anlagen durch die Prüfer erstellt und vom Betreiber ans BSI übermittelt.

Die Nachweis­dokumente und Anhänge sollen in Deutsch abgegeben werden; eigene Dokumente der Betreiber und der Prüfbereicht können auch Englisch sein.

Nachweisdokument KI

Dokumentation der Kritischen Infrastruktur gemäß § 8a Absatz 3 BSIG. Enthält Angaben zur geprüften Kritischen Infrastruktur und zur Ansprechperson (KI.1 bis KI.7), die der KRITIS-Betreiber selbst ausfüllt und zeichnet. Die weiteren Dokumente und Anhänge müssen hiermit zusammen eingereicht werden. (Vorlage vom BSI)

Nachweisdokument P

Angaben zur Prüfung, den Ergebnissen und dem Prüfteam. Dieses Formular enthält die wichtigsten Ergebnisse und Anlagen, und wird von der prüfenden Stelle gezeichnet und gestempelt.

Anlagen und Anhänge

Das Nachweisdokument P enthält folgende Anlagen:

Quelle und Texte aus den BSI-Formularen KI und P, Stand 2023.
Die BSI Orientierungshilfe für Nachweise (OH-N) enthält auch Hinweise und Muster für Nachweise.

up

Prüfbericht

Im Prüfbericht dokumentieren KRITIS-Prüfer ihr Vorgehen in der Prüfung und die Ergebnisse der Prüfungs­handlungen. Dazu zählen Beobachtungen, Feststellungen (bewertete Mängel und Abweichungen) und eine Einschätzung der IT-Sicherheit in der KRITIS-Anlage. Je nach Berufsstand und Unternehmen haben Berichte unterschiedliche Schwerpunkte.

Der Bericht wird dem BSI nur auf Nachfrage vom Betreiber zur Verfügung gestellt. Es gibt keine definierten Vorgaben an Form und Inhalt der Berichte, ein dokumentiertes Vorgehen in der Prüfung erleichtert die Nachvoll­ziehbarkeit der Prüfung im Unternehmen und für Dritte (Prüfer, BSI) jedoch enorm:

up

Mängel und Umsetzungs­plan

In der KRITIS-Prüfdokumentation gibt es folgende Kategorien von Sicherheitsmängeln:

Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch angemessene Verbesserungs­maßnahmen behoben werden, wie im Umsetzungsplan der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt dann durch die verantwortlichen Fachbereiche und den Betrieb (möglichst in einem langfristigen Programm).

Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen nach dem Umsetzungs­plan überwachen. Die Maßnahmen selbst werden (sollten) im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung und auch vorläufige Maßnahmen bei sehr langen Fristen verlangen.

up

Weitere Schritte

Übermittlung ans BSI

Nach der Prüfung übermitteln die Prüfer dem BSI als Ergebnis die oben genannten Nachweisdokumente KI und P mit Anlagen (auf Deutsch). Die Dokumente sollen elektronisch ans BSI übermittelt werden. Das BSI prüft die Nachweise, Mängel und Maßnahmen formell und inhaltlich. Dabei kann es Rückfragen an Prüfer und Betreiber geben.

Bestanden?

Es gibt als Ergebnis von KRITIS-Prüfungen kein Zertifikat durch die Prüfer oder das BSI. Es gibt kein formelles Bestehen der Prüfung und auch keinen Bescheid als zertifizierter KRITIS-Betreiber — die Prüfung dokumentiert lediglich den Ist-Stand im Prüfzeitraum.

Nachfragen und weitere Prüfung

Es kann nach der Übermittlung der Prüfdokumentation zur Nachfragen des BSI an Prüfer und Betreiber zu formellen Themen, Feststellungen und Maßnahmen kommen. Ebenso kann das BSI im weiteren Verlauf einen Bericht der Umsetzung verlangen. Die Mängelliste mit den aktualisierten Umsetzungs­ständen muss alle 1-6 Monate ans BSI übermittelt werden.

Das BSI kann sich nach §8a Abs. 4 BSIG durch Tiefenprüfungen auch selbst ein Bild der Umsetzung von KRITIS-Anforderungen bei Betreibern machen. Diese kann das BSI selbst durchführen oder extern veranlassen.

up

Weitere Informationen

Literatur

  1. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12. Mai 2023

Formulare

  1. Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, KRITIS-Nachweise kompakt, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. Nachweisdokument KI, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 2. Mai 2023
  3. Nachweisdokument P, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 10.07.2023
  4. Muster Prüfplan PD.A, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 12. Mai 2023
  5. Muster Mängelliste PE.A (.XLS), Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 12. Mai 2023
  6. Muster Selbsterklärung, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 19.2.2020