KRITIS-Prüfungen

NIS2 und KRITIS-Dachgesetz

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz werden sich die Nachweispflichten betroffener Unternehmen in den nächsten Jahren wahrscheinlich ändern. Die Nachweis­pflichten haben sich in Entwürfen von September 2023 wieder geändert – mit einem 3-Jahres­zyklus und Einschränkungen bei den Einrichtungen.

Prüfplanung

Vor der Prüfung

Vor KRITIS-Nachweisprüfungen müssen von KRITIS-Betreibern grundlegende Entscheidungen und Vorbereitungen zum Ablauf und Scope der §8a BSIG-Nachweisprüfung getroffen werden:

• Zeiten und Termine: Zeitplanung der Prüfungshandlungen in den registrierten Anlagen mit betroffenen Personen, Interviews, Begehungen, Bereitstellung von Unterlagen, Fristen.
• Zu prüfende Anlagen: Festlegung, welche Anlagen im Betrieb in den Prüfzyklus der KRITIS-Betroffenheit fallen und vom Prüfer geprüft werden müssen.
• Betroffene Standorte: Analyse, welche Standorte von Anlagen und vom Betreiber in der Prüfung untersucht werden (müssen), bzw. im KRITIS-Geltungsbereich sind.
• Betroffene Bereiche: Analyse, welche Betriebsbereiche durch die Prüfung betroffen sind — IT, Produktion, Sicherheit — und wieviel Zeit und Vorbereitung Betreiber einplanen müssen.
• Inhaltliche Schwerpunkte: Festlegung im Prüfprogramm oder anhand aktueller Ereignisse, welche IT-Systeme oder Security-Aspekte Schwerpunkte im aktuellen Prüfzyklus sind.
• Audit-Preparation: Vorbereitung der KRITIS-Prüfung in der Organisation und den Fachbereichen, Sammlung von Nachweisen, Übungen und Test­durchläufe der Prüfungen.

Die Vorbereitung, Koordinierung und Steuerung der Prüfung kann beim Betreiber von einer eigenen KRITIS-Organisation als Projekt-Organisation oder Stabsstelle verantwortet werden.

Auswahl der KRITIS-Prüfer

Die §8a BSIG-Nachweisprüfungen bei KRITIS-Betreibern dürfen nur von einem bestimmten Prüferkreis durchgeführt werden — den prüfenden Stellen. Diese müssen durch das BSI festgelegte Voraussetzungen erfüllen und ihre Eignung und die des Prüfteams nachweisen.

Als Teil der eigenen Prüfungsplanung wählen Betreiber geeignete KRITIS-Prüfer aus dem Kreis der prüfenden Stellen aus und beauftragen diese. Die prüfende Stelle wiederum stellt das Prüfteam mit den notwendigen Qualifikationen zusammen.

Prüfgrundlage und Standards

Die Prüfgrundlage bestimmt das methodische und inhaltliche Vorgehen in der §8a BSIG-Nachweisprüfung der KRITIS-Anlage(n). Der Betreiber legt die Prüfgrundlage zusammen mit dem Prüfer fest — das Vorgehen muss dem BSI die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen in den KRITIS-Anlagen demonstrieren können.

Es gibt verschiedene Möglichkeiten für KRITIS-Prüfgrundlagen — von Branchenstandards (B3S) über berufsständische Vorgaben bis zu Kriterien des BSI selbst.

Was passiert in der Prüfung?

In der §8a BSIG Nachweisprüfung prüfen KRITIS-Prüfer bei KRITIS-Betreibern die Schutz­maßnahmen der Kritischen Infrastrukturen in den gemeldeten KRITIS-Anlagen. Dazu führen die Prüfer Prüfhandlungen durch, um vorhandene Cyber Security Maßnahmen zu bewerten.

In der KRITIS-Prüfung sind in den Audit Sessions folgende Aspekte wichtig:

• Teilnehmer: Prüfer und die geprüften Fachbereiche, Experten und IT
• Themen: KRITIS, Cyber Security, Risiko-Management, IT und Steuerung
• Prüfhandlungen: Interviews, Dokumenten-Reviews, Nachweise und Protokolle

Anforderungen

Das formelle Vorgehen in der Prüfung ist vom BSI in Anforderungen nach §8a (5) BSIG seit 2023 normativ definiert. Die Anforderungen legen Vorgaben zum Vorgehen (Prüfschritte, Vier-Augen-Prinzip), zu Nachweisdokumenten (verbindliche Nutzung der BSI-Vorlagen), zum Umgang mit Mängeln und zur Dokumentation im Prüfbericht fest.

Methodik

Das Prüfvorgehen einer KRITIS-Prüfung teilt sich üblicherweise in mehrere Phasen auf — abhängig von der Prüfgrundlage, KRITIS-Sektor und dem ausführenden KRITIS-Prüfteam.

Was wird geprüft?

Prüfer untersuchen Kritische Infrastrukturen in KRITIS-Prüfungen in der Regel in drei Phasen:

1Grundlagen: Untersuchung des Geltungsbereichs der KRITIS-Anlage. Der Prüfer sollte die Funktion der KRITIS-Anlage und dazugehöriger Prozesse und IT nachvollziehen können.
2Angemessenheit von IT-Sicherheit: Prüfung, ob die genannten Maßnahmen geeignet und angemessen sind, um die IT- und Sicherheitsrisiken der KRITIS-Anlagen zu reduzieren.
3Wirksamkeit von Kontrollen: Auswahl und Untersuchung von Stichproben, ob die Kontrollen für IT-Sicherheit wirklich wirksam waren und umgesetzt wurden (Effektivität).

Grundlagen­prüfung

In der Grundlagen­prüfung — der ersten Phase der Prüfung (noch vor der tatsächlichen Haupt­prüfung) — untersuchen die Prüfer das Vorgehen und die Definitionen des Betreibers in seinen KRITIS-Anlagen und der Prüfung.

1. Geltungsbereich: Prüfung, ob der Geltungsbereich vollständig und im Sinne von KRITIS verständlich ist — kann die KRITIS-Anlage nachvollzogen werden? Das BSI hat Empfehlungen und Erfahrungen aus der Praxis an Geltungsbereiche publiziert.
2. Verantwortung: Klärung der grundlegenden Verantwortungen beim Betreiber zum Thema KRITIS und Anlagen mit der Geschäftsführung und KRITIS-Leitung.
3. Prüfplanung: Analyse und Bewertung der Prüfplanung des Betreibers für die KRITIS-Prüfung inkl. der Prüfgrundlage (OH-N, B3S, BSI), Control Set usw.
4. Vorgehen: Dabei sprechen die Prüfer mit den KRITIS-Verantwortlichen beim Betreiber und prüfen KRITIS-Unterlagen und Dokumentationen.

Angemessenheits­prüfung

In der Angemessenheits­prüfung — der zweiten Phase der Prüfung — beurteilen die Prüfer die Angemessenheit von Sicherheits­maßnahmen und Kontrollen beim Betreiber in der KRITIS-Anlage — die Planung und Umsetzung von Maßnahmen.

1. Prüferisches-Soll vs. Betreiber-Ist: Aufnahme des Ist-Zustandes der IT-Sicherheit in der KRITIS-Anlage und Abgleich mit dem Soll-Zustand der gewählten Prüfgrundlage.
2. Angemessenheit von Kontrollen: Prüfung und Beurteilung, ob Sicherheits­maßnahmen angemessen geplant und umgesetzt sind — werden KRITIS-Risiken organisiert gemindert?
3. Vorgehen: In dieser Phase sprechen die Prüfer mit den IT- und Prozess-Verantwortlichen sowie Control Ownern und prüfen die Dokumentationen von Sicherheits­maßnahmen und IT.

Wirksamkeits­prüfung

In der Wirksamkeits­prüfung, der wichtigsten Phase der Prüfung, untersuchen die Prüfer die Umsetzung und Effektivität der Cyber Security Maßnahmen in der KRITIS-Anlage.

1. Durchführung: Prüfung, ob die Kontrollen (Sicherheits­maßnahmen) wie vorgesehen durchgeführt werden — funktionieren die Kontrollen und erreichen sie ihr Kontrollziel?
2. Nachvollziehbarkeit: Untersuchung, ob die Durchführung der Kontrollen durch Dritte nach­vollzogen werden kann: finden sich Nachweise in Systemen, Protokollen oder Logs?
3. Stichproben: Prüfer wählen für die Kontrollen nach Parametern (Grundgesamtheit, Frequenz, Risiko) Stichproben aus und bewerten diese auf Abweichungen.
4. Vorgehen: Dabei untersuchen Prüfer Nachweise aus Systemen und Tests, analysieren die Daten von Kontrollen in IT-Systemen und vollziehen Änderungen nach.

In der Prüfung

Prüfhandlungen

In der Prüfung können folgende Prüfhandlungen vom Prüfteam durchgeführt werden:

• Interviews: Strukturierte Gespräche mit Verantwortlichen beim Betreiber zu bestimmten Themen (Anlagen, Prozesse, IT) und Kontrollen.
• Review von Dokumenten: Prüfung von Unterlagen auf Vollständigkeit, Inhalt und formelle Korrektheit (Dokumenten­lenkung, Versionen, Daten, Änderungen)
• Review von Controls: Prüfung der Planung und Umsetzung von Maßnahmen durch Einsicht in IT-Systeme und Nachvollzug von Prozessen
• Review von Nachweisen: Prüfung von Protokollen, Log-Dateien, Auswertungen, Statistiken
• Begehung: Prüfung der Zustände vor Ort in Anlagen, Rechenzentren und Geschäftsräumen

Themen

Themen, die in Security-Prüfungen häufig abgefragt und getestet werden — dies ist jedoch stark vom gewählten KRITIS-Sicherheitsstandard und der Prüfgrundlage abhängig.

• Governance: Prozesse, Rollen und Vorgaben, die beim Betreiber in der KRITIS-Anlage das Management von Informations­sicherheit (ISMS), Risiken, Business Continuity (BCM) und IT-Notfall­management und KRITIS verankern und selbst überprüfen und verbessern.
• Angriffserkennung und Schwachstellen: Prozesse und Systeme zur Detektion von Angriffen, Vorfällen und Schwachstellen, und zur Reaktion, Überprüfung und Behebung, ab 2023 stark erweitert um die Orientierungshilfe Angriffserkennung (OH SzA)
• Technische IT-Sicherheit: Themen rund um technische und IT-Sicherheits­maßnahmen: Hardware, sicherer IT-Betrieb, Software, Betriebssysteme, Entwicklungs­prozesse
• Schnittstellen: Netzübergänge, Firewalls, externe Zugänge, remote Access und VPN
• Personal und Physische Sicherheit: Zugangs- und Zutritts­berechtigungen und deren Management (IAM), Schutz­maßnahmen von Gebäuden, Anlagen, Energie/Klima, Perimeter
• Externe: Themen rund um Risiken und Steuerung von externen Mitarbeitern, Lieferanten und Dienstleistern (IT-Provider) in der KRITIS-Anlage, samt Berechtigungen und Verträge

Teilnahme

An den einzelnen Terminen von KRITIS-Prüfungen nehmen üblicherweise folgende Gruppen teil, in unterschiedlicher Zusammensetzung:

• Das Prüfteam mit den KRITIS-Prüfern: Prüfungs­leiter und Prüfer
• Sicherheits­management zu zentralen Themen wie ISMS, Governance, Risiken, Kontrollen
• Geprüfte Fachbereiche mit Ansprechpartnern und Experten zu Prozessen und Anlagen
• IT und Betrieb mit Ansprechpartnern und Experten zu IT-Systemen und Anwendungen
• Koordinatoren der Prüfung, Compliance und KRITIS-Verantwortliche, falls vorhanden

Feststellungen und Bewertung

Prüfurteil

Während der Prüfhandlung bis zum Abschluss des Prüfberichts bewertet das Prüfteam die vorgefundene Situation, sammelt Nachweise und fällt Urteile. Das gesamte Prüfurteil des Prüfteams basiert auf vorgefundenen Abweichungen und Lücken (Schwachstellen) im Prüf­zeitraum, der vor allem die Vergangenheit betrachtet. Am Ende steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben.

KRITIS-Prüfungen testen, ob und wie die gesetzlichen KRITIS-Anforderungen durch Cyber Security Maßnahmen umgesetzt sind. Stellen KRITIS-Prüfer im Rahmen der Prüf­handlungen dazu Abweichungen fest, bewerten sie diese in der offiziellen Prüfdokumentation.

Mängel und Umsetzungs­plan

In KRITIS-Prüfungen werden die Mängel nach Vorgabe des BSI in Kategorien bewertet:

• Schwerwiegende Mängel stellen ein gravierendes, erhebliche Mängel ein großes Risiko dar. Abweichungen müssen zeitnah beseitigt werden, es gibt akuten Handlungsbedarf, da erheblicher Schaden an der kritischen Dienstleistung zu erwarten ist.
  Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert.
• Geringfügiger Mängel stellen ein Risiko ohne akuten Handlungsbedarf dar, die Abweichung muss mittelfristig beseitigt werden.
  Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert.
• Empfehlungen sind Verbesserungshinweise zu Sicherheit und Kommentare zu Maßnahmen.
  Die Empfehlungen werden im Prüfbericht dokumentiert, Mängelliste optional.
• Keine Abweichung bedeutet eine Umsetzung der Anforderungen ohne Mangel.
  Dies wird im Prüfbericht dokumentiert.

Die Mängelliste mit dem Umsetzungs­plan enthält als Hauptergebnis der KRITIS-Prüfung die vorgefundenen IT-Sicherheits­mängel, abgestimmten Maßnahmen und Fristen zur Behebung. Die Mängel werden in den eben genannten Kategorien und bewertet.

Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch angemessene Verbesserungs­maßnahmen behoben werden, wie im Umsetzungsplan der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt dann durch die verantwortlichen Fachbereiche und den Betrieb (möglichst in einem langfristigen Programm).

Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen nach dem Umsetzungs­plan überwachen. Die Maßnahmen selbst werden (sollten) im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung und auch vorläufige Maßnahmen bei sehr langen Fristen verlangen.

Prüfbericht

Das Prüfteam dokumentiert sein Vorgehen in der Prüfung und die Ergebnisse der Prüfungs­handlungen in einem Prüfbericht. Dazu zählen Beobachtungen, Feststellungen (bewertete Mängel und Abweichungen) und eine Einschätzung der IT-Sicherheit in der KRITIS-Anlage. Je nach Berufsstand und Unternehmen haben Berichte unterschiedliche Schwerpunkte.

Der Bericht wird dem BSI nur auf Nachfrage vom Betreiber zur Verfügung gestellt. Es gibt keine definierten Vorgaben an Form und Inhalt der Berichte, ein dokumentiertes Vorgehen in der Prüfung erleichtert die Nachvoll­ziehbarkeit der Prüfung im Unternehmen und für Dritte:

• Prüfmethodik und Prüfstandard/Prüfgrundlage
• Methodik für Stichproben und Sampling
• Methodik zur Bewertung
• Auswahl von Anlagen, Standorten etc.
• Auswahl von Controls, Schwerpunkten und Nachweisen
• Beschreibung der KRITIS-Anlage, Schwellenwerte
• Dokumentation der Prüfhandlungen
• Dokumentation der Ergebnisse: Abweichungen, Mängel
• Dokumentation der Prüfungen, Termine, Erklärungen
• Einschätzungen, Bewertungen
• etc.

Nachweis­dokumente

Die wichtigsten Unterlagen sind die Nachweis­dokumente, in denen Prüfer die Ergebnisse der BSIG-Prüfung eintragen. Die BSI-Formulare sind in zwei Dokumenten mit Anhängen zusammen­gefasst, für die es teilweise Vorlagen vom BSI gibt. Die Dokumente werden in Zusammenarbeit von KRITIS-Prüfer und Betreiber erstellt und vom Betreiber ans BSI übermittelt.

Die Nachweis­dokumente und Anhänge sollen in Deutsch abgegeben werden; eigene Dokumente der Betreiber und der Prüfbereicht können auch Englisch sein.

Nachweisdokument KI

Dokumentation der Kritischen Infrastruktur gemäß § 8a Absatz 3 BSIG. Enthält Angaben zur geprüften Kritischen Infrastruktur und zur Ansprechperson (KI.1 bis KI.7), die der KRITIS-Betreiber selbst ausfüllt und zeichnet. Die weiteren Dokumente und Anhänge müssen hiermit zusammen eingereicht werden. (Vorlage vom BSI)

Hinweis: Der Anlagenname in Feld KI.3 muss korrekt angegeben werden (vgl. Erinnerungsschreiben des BSI zum fälligen Nachweis). Der Betreiber muss das Dokument stempeln und unterschreiben.

Nachweisdokument P

Angaben zur Prüfung, den Ergebnissen und dem Prüfteam. Dieses Formular enthält die wichtigsten Ergebnisse und wird von der prüfenden Stelle gezeichnet und gestempelt.

• Allgemeine Angaben zum Betreiber
• Abschnitt PD Durchführung der Prüfung: Angaben zur Art der Prüfung, Prüfgrundlage und Erläterungen, mögliche Zertifizierungen — mit separaten Anlagen PD.A, PD.B und PD.C
• Abschnitt PE Prüfergebnis und Sicherheitsmängel: Einschätzung des Reifegrads von ISMS, BCMS und Angriffserkennung (SzA) beim Betreiber (Skala 1-5), Auflistung der Sicherheits­mängel und abgestimmter Umsetzungsplan als Anlage PE.A (siehe unten)
• Abschnitt PS Prüfende Stelle: Angaben zur Eignung der prüfenden Stelle und Prüfteam, Unabhängigkeit und Nachweise dafür als separate Anlage PS.A und PS.B (siehe unten)

Hinweis: Der Anlagenname in Feld P.3 muss korrekt angegeben werden (vgl. Erinnerungsschreiben BSI).

Anlagen und Anhänge

Das Nachweisdokument P enthält folgende Anlagen:

• Anlage PD.A: Geltungsbereich und Netzstrukturplan
  Beschreibung und grafische Darstellung des Geltungsbereichs der KRITIS-Anlage — das BSI hat hierzu Anforderungen in der Orientierungshilfe für Nachweise (G01-G13, N01-N10). Diese Anforderungen müssen in der Grafik oder der Beschreibung ersichtlich werden.
• Anlage PD.B: Prüfplan (Vorlage vom BSI)
  Informationen zum Ablauf der Prüfung mit Prüfthemen, Terminen, Standorten. Die Vorlage muss verwendet werden und vollständig ausgefüllt als Excel-Datei eingereicht werden.
• Anlage PD.C: Prüfgrundlage
  Beschreibung der Prüfgrundlage, welche Normen, B3S und Regelwerke verwendet und wie der Stand der Technik in der Prüfung berücksichtigt wurde. Aus der Prüfgrundlage sollte auch hervorgehen, dass die OH SzA berücksichtigt wurde.
• Anlage PE.A: Mängelliste (Vorlage vom BSI)
  Liste der in der Prüfung gefundenen Sicherheitsmängel mit Umsetzungsplan zur Behebung der Mängel — die in geringfügige und schwerwiegende/erhebliche Abweichungen eingeteilt werden. Die Vorlage muss verwendet und vollständig ausgefüllt als Excel-Datei eingereicht werden mit Angaben konkreter Daten zur Mängelbehebung und Status in Prozent.
• Anlage PS.A: Nachweis Prüfverfahrenskompetenz
  oder gleichwertige Kompetenznachweise für Prüfstelle und Prüfteam.
• Selbsterklärung prüfende Stelle (optional) (Vorlage vom BSI)
  Nur erforderlich, falls keine der Optionen im Nachweisdokument P (Abschnitt PS.3) zutreffen.
• Nachweise auf Basis eines ISO/IEC 27001-Zertifikats (optional)
  Wenn ein ISO-Zertifikat im Rahmen des KRITIS-Nachweises genutzt werden soll, müssen die vom BSI geforderten Rahmenbedingungen erfüllt werden. Es muss dokumentiert werden, wie diese in der Prüfung umgesetzt wurden, das gültige ISO-Zertifikat muss eingereicht werden.

Quelle und Texte aus den BSI-Formularen KI und P, Stand 2023, und aus den Hinweisen des BSI, Stand 2024.
Die BSI Orientierungshilfe für Nachweise (OH-N) enthält auch Hinweise und Muster für Nachweise.

Einreichung

Übermittlung ans BSI

Nach der Prüfung übermitteln Betreiber dem BSI als Ergebnis die Nachweisdokumente KI und P mit Anlagen (auf Deutsch). Die Dokumente sollen elektronisch ans BSI übermittelt werden über das Melde- und Informationsportal (MIP).

Es kann nach der Übermittlung der Prüfdokumentation zur Nachfragen des BSI an Prüfer und Betreiber zu formellen Themen, Feststellungen und Maßnahmen kommen. Ebenso kann das BSI im weiteren Verlauf einen Bericht der Umsetzung verlangen. Die Mängelliste und aktualisierte Umsetzungs­ständen muss alle 1-6 Monate ans BSI übermittelt werden.

Das BSI kann sich nach §8a Abs. 4 BSIG durch Tiefenprüfungen auch selbst ein Bild der Umsetzung von KRITIS-Anforderungen bei Betreibern machen. Diese kann das BSI selbst durchführen oder extern veranlassen.

Bestanden?

Es gibt als Ergebnis von KRITIS-Prüfungen kein Zertifikat durch die Prüfer oder das BSI. Es gibt kein formelles Bestehen der Prüfung und auch keinen Bescheid als zertifizierter KRITIS-Betreiber — die Prüfung dokumentiert lediglich den Ist-Stand im Prüfzeitraum.

Tipps zur Einreichung von Nachweisen

Im Abschluss der Prüfung kommt es häufig zu Nachfragen und Nachforderungen, die vermieden werden können. Das BSI nennt selbst verschiedene Punkte, damit die Einreichung von Nachweisen (2024) für beide Seiten reibungslos klappt:

• Die verbindlichen grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) nach §8a (5) müssen in der Prüfung berücksichtigt werden.
• Seit Mai 2023 müssen die Nachweise auch die Prüfung für den Einsatz von Systemen zur Angriffserkennung enthalten.
• Alle Nachweisunterlagen müssen pünktlich eingereicht werden. Auch wenn das Audit bereits abgeschlossen ist, benötigt die prüfende Stelle meist noch Zeit für die Zusammenstellung der Ergebnisse. Daher sollte ein Puffer zwischen Abschluss und Einreichtung geplant werden.
• Die Nachweisdokumente müssen vollständig sein: Formular KI und P, Anlagen PD.A, PD.B, PE.A, PS.A, PD.C und ggf. optionale Dokumente/Erklärungen
• Alle Nachweisdokumente selbst müssen deutschsprachig eingereicht werden; der Prüfbericht darf auch Englisch sein.
• Die Unabhängigkeit der Prüfer wird durch die prüfenden Stellen geprüft – hierzu muss kein Nachweis beim BSI eingereicht werden. Mitarbeiter oder Mitarbeiterinnen des Betreibers dürfen nicht zum Prüfteam gehören (Ausnahmen sind interne Revisionen).
• Die Einreichung der Nachweise soll nur über sichere Meldewege erfolgen: bevorzugt das Melde- und Informationsportal (MIP) des Bundes. Für die Einreichung ist ein eigenes Elster-Zertifikat nötig. Falls die Einreichung über das MIP nicht möglich ist, können die Nachweisdokumente auch per E-Mail an das KRITIS-Büro gesendet werden (S/MIME).

Nachbereitung

Behebung der Mängel

Die in der Prüfung festgestellten Mängel müssen vom Betreiber durch Verbesserungs­maßnahmen behoben werden, wie im Umsetzungsplan in der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt durch die verantwortlichen Fachbereiche und den Betrieb.

Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen per Umsetzungs­plan überwachen. Die Maßnahmen selbst werden im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung verlangen.

Tiefenprüfung

Das BSI kann nach §8a Abs. 4 BSIG ebenfalls von sich aus überprüfen, ob Betreiber KRITIS-Anforderungen des BSIG einhalten. Diese Tiefenprüfung kann das BSI selbst beim Betreiber durchführen oder durch externe Prüfer veranlassen.

Programm

Ein Cybersecurity Programm bei Betreibern zur Behebung der Mängel und Verbesserung der IT-Sicherheit kann dabei helfen, Mängel nachhaltig zu beseitigen. Die Mängel der Prüfungen sollten nach dem Prüfzyklus organisiert behoben werden. Hierbei kann ein strukturiertes Programm helfen, indem es Mängel systematisch beseitigt und Risiken sowie Budget priorisiert.

Die Organisation der KRITIS-Prüfungen sollte von Betreibern strategisch angegangen werden — mit einem langfristigen Programm zur Planung der Nachweisprüfungen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.

Literatur und Links

1. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12. Mai 2023
2. Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
3. FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik
4. Erfolgreich Nachweise einreichen, Bundesamt für Sicherheit in der Informationstechnik, o.D.
5. Ereignisse über das MIP melden, Bundesamt für Sicherheit in der Informationstechnik, o.D
6. Anleitung zur Mängel-Dokumentation in der Mängelliste, Bundesamt für Sicherheit in der Informationstechnik, 19.02.2024

Formulare

1. Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, KRITIS-Nachweise kompakt, Bundesamt für Sicherheit in der Informationstechnik, o.D.
2. Nachweisdokument KI, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 2. Mai 2023
3. Nachweisdokument P, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 10.07.2023
4. Muster Prüfplan PD.A, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 12. Mai 2023
5. Muster Mängelliste PE.A (.XLS), Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 12. Mai 2023
6. Muster Selbsterklärung, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 19.2.2020