Ergebnisse BSIG-Prüfungen

Das Ergebnis von BSIG-Nachweis­prüfungen ist eine Einschätzung der IT-Sicherheit in Kritischen Infrastrukturen durch KRITIS-Prüfer. Die Prüfer bewerten die in der Prüfung gewonnenen Erkenntnisse und stellen Abweichungen der IT-Sicherheit als Mängel fest. Die Einschätzungen werden im Prüfbericht dokumentiert und in den offiziellen Nachweis­dokumenten an das BSI berichtet.

Die Nachweise werden durch das BSI geprüft, wobei es zu Rückfragen an Prüfer und Betreiber kommen kann. Die in der Prüfung festgestellten Mängel müssen dann vom Betreiber zeitnah durch Cyber Security Maßnahmen behoben werden und können durch Prüfer oder das BSI bis zum oder im nächsten Prüfzyklus erneut getestet werden.

Dokument Inhalt Vorlage Verantwortlich Einreichung
Nachweisdokument KI Informationen KRITIS-Anlage BSI Betreiber
Nachweisdokument P Ergebnis Prüfung BSI Prüfer
Anlage PD.A Geltungsbereich + Netzstrukturplan - Prüfer
Anlage PD.B Prüfplan BSI Prüfer
Anlage PD.C (opt.) Prüfgrundlage - Prüfer
Anlage PE.A Mängelliste BSI Prüfer
Anlage PS.A Nachweis Prüfkompetenz - Prüfer
Anlage PS.B Unabhängigkeitserklärung - Prüfer
Prüfbericht Dokumentation Prüfvorgehen - Prüfer
Nachweise Evidenzen, Protokolle, Logs - Prüfer

Am Ende der Prüfung

Nachweis­dokumente

Die wichtigsten Unterlagen die sind die Nachweis­dokumente, in denen Prüfer die Ergebnisse der BSIG-Prüfung eintragen. Die BSI-Formulare sind in zwei Dokumenten mit Anhängen zusammen­gefasst, für die es teilweise Vorlagen vom BSI gibt. Die Dokumente werden bis zum Ende zusammen mit den Anlagen durch die Prüfer erstellt und ans BSI übermittelt.

Die Nachweis­dokumente und Anhänge sollen in Deutsch abgegeben werden; eigene Dokumente der Betreiber und der Prüfbereicht können auch Englisch sein.

Nachweisdokument KI

Dokumentation der Kritischen Infrastruktur gemäß § 8a Absatz 3 BSIG. Enthält Angaben zur geprüften Kritischen Infrastruktur und zur Ansprechperson (KI.1 bis KI.7), die der KRITIS-Betreiber selbst ausfüllt und zeichnet. Die weiteren Dokumente und Anhänge müssen hiermit zusammen eingereicht werden. (Vorlage vom BSI)

Nachweisdokument P

Angaben zur Prüfung, den Ergebnissen und dem Prüfteam. Dieses Formular enthält die wichtigsten Ergebnisse und Anlagen, und wird von der prüfenden Stelle gezeichnet und gestempelt. (Vorlage vom BSI)

Anlagen und Anhänge

Das Nachweisdokument P enthält folgende Anlagen :

Quelle und Texte aus den BSI-Formularen KI und P, Stand 2021.
Die BSI Orientierungshilfe für Nachweise (OH-N) enthält auch Hinweise und Muster für Nachweise.

up

Prüfbericht

Im Prüfbericht dokumentieren KRITIS-Prüfer ihr Vorgehen in der Prüfung und die Ergebnisse der Prüfungs­handlungen. Dazu zählen Beobachtungen, Feststellungen (bewertete Mängel und Abweichungen) und eine Einschätzung der IT-Sicherheit in der KRITIS-Anlage. Je nach Berufsstand und Unternehmen haben Berichte unterschiedliche Schwerpunkte.

Der Bericht wird dem BSI nur auf Nachfrage durch Prüfer zur Verfügung gestellt. Es gibt keine definierten Vorgaben an Form und Inhalt der Berichte, ein dokumentiertes Vorgehen in der Prüfung erleichtert die Nachvoll­ziehbarkeit der Prüfung im Unternehmen und für Dritte (Prüfer, BSI) jedoch enorm:

up

Mängel und Umsetzungs­plan

In der KRITIS-Prüfdokumentation gibt es folgende Kategorien von Sicherheitsmängeln:

  1. Schwerwiegende Mängel stellen ein gravierendes, erhebliche Mängel ein großes Risiko dar. Abweichungen müssen zeitnah beseitigt werden, es gibt akuten Handlungsbedarf, da erheblicher Schaden an der kritischen Dienstleistung zu erwarten ist.
    Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert.
  2. Geringfügiger Mangel stellen ein Risiko ohne akuten Handlungsbedarf dar, die Abweichung muss mittelfristig beseitigt werden.
    Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert.
  3. Empfehlung sind Verbesserungshinweise zur IT-Sicherheit und Kommentare zu Maßnahmen.
    Die Empfehlungen werden im Prüfbericht dokumentiert, Mängelliste optional.
  4. Keine Abweichung bedeutet eine Umsetzung der Anforderungen ohne Mangel.
    Dies wird im Prüfbericht dokumentiert.

Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch Verbesserungs­maßnahmen behoben werden, wie im Umsetzungsplan in der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt dann durch die verantwortlichen Fachbereiche und den Betrieb (möglichst in einem langfristigen Programm).

Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen nach dem Umsetzungs­plan überwachen. Die Maßnahmen selbst werden (sollten) im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung verlangen.

up

Weitere Schritte

Übermittlung ans BSI

Nach der Prüfung übermitteln die Prüfer dem BSI als Ergebnis die die oben genannten Nachweisdokumente KI und P mit Anlagen, auf Deutsch. Die Dokumente sollen elektronisch ans BSI übermittelt werden. Das BSI prüft die Nachweise, Mängel und Maßnahmen formell und inhaltlich. Dabei kann es Rückfragen an Prüfer und Betreiber geben.

Bestanden?

Es gibt als Ergebnis von KRITIS-Prüfungen kein Zertifikat durch die Prüfer oder das BSI. Es gibt kein formelles Bestehen der Prüfung und auch keinen Bescheid als zertifizierter KRITIS-Betreiber — die Prüfung dokumentiert lediglich den Ist-Stand im Prüfzeitraum.

Nachfragen und weitere Prüfung

Es kann nach der Übermittlung der Prüfdokumentation zur Nachfragen des BSI an Prüfer und Betreiber zu formellen Themen, Feststellungen und Maßnahmen kommen. Ebenso kann das BSI später im weiteren Verlauf einen Bericht der Umsetzung verlangen. Die Mängelliste mit aktualisierten Umsetzungs­ständen müssen alle 1-6 Monate ans BSI übermittelt werden.

Das BSI kann sich nach §8a Abs. 4 BSIG durch Tiefenprüfungen auch selbst ein Bild der Umsetzung von KRITIS-Anforderungen bei Betreibern machen. Diese kann das BSI selbst durchführen oder extern veranlassen.

up

Weitere Informationen

Literatur

  1. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, 28.08.2020
  2. Aktuelles für Betreiber und Prüfer, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  3. Erfolgreich Nachweise einreichen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  4. Aktualisierungen der Nachweisformulare und der Orientierungshilfen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Formulare

  1. Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, KRITIS-Nachweise kompakt, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. Nachweisdokument KI, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 15.2.2022
  3. Nachweisdokument P, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 10.2.2021
  4. Muster Prüfplan PD.A, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 8.3.2022
  5. Muster Mängelliste PE.A (.XLS), Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 18.11.2021
  6. Muster Selbsterklärung, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 19.2.2020