Ergebnisse BSIG-Prüfungen
Das Ergebnis von BSIG-Nachweisprüfungen ist eine Einschätzung der IT-Sicherheit in Kritischen Infrastrukturen durch KRITIS-Prüfer. Die Prüfer bewerten die in der Prüfung gewonnenen Erkenntnisse und stellen Abweichungen als Mängel fest. Die Einschätzungen werden im Prüfbericht dokumentiert und vom Betreiber in den offiziellen Nachweisdokumenten an das BSI berichtet.
| Dokument | Inhalt | Vorlage | Verfasser | Einreichung |
|---|---|---|---|---|
| Nachweisdokument KI | Informationen KRITIS-Anlage | BSI | Betreiber | ⚫ |
| Nachweisdokument P | Ergebnis Prüfung | BSI | Prüfer | ⚫ |
| Anlage PD.A | Geltungsbereich + Netzstrukturplan | - | Betreiber | ⚫ |
| Anlage PD.B | Prüfplan | BSI | Prüfer | ⚫ |
| Anlage PD.C (opt.) | Prüfgrundlage | - | Prüfer | ⚫ |
| Anlage PE.A | Mängelliste | BSI | Prüfer | ⚫ |
| Anlage PS.A | Nachweis Prüfkompetenz | - | Prüfer | ⚫ |
| Anlage PS.B | Unabhängigkeitserklärung | - | Prüfer | ⚫ |
| Prüfbericht | Dokumentation Prüfvorgehen | - | Prüfer | ⬚ |
| Nachweise | Evidenzen, Protokolle, Logs | - | Prüfer |
Die Nachweise werden durch das BSI geprüft, wobei es zu Rückfragen kommen kann. Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch Cyber Security Maßnahmen behoben werden und können durch Prüfer oder das BSI bis zum oder im nächsten Prüfzyklus erneut getestet werden.
Am Ende der Prüfung
Nachweisdokumente
Die wichtigsten Unterlagen sind die Nachweisdokumente, in denen Prüfer die Ergebnisse der BSIG-Prüfung eintragen. Die BSI-Formulare sind in zwei Dokumenten mit Anhängen zusammengefasst, für die es teilweise Vorlagen vom BSI gibt. Die Dokumente werden zusammen mit den Anlagen durch die Prüfer erstellt und vom Betreiber ans BSI übermittelt.
Die Nachweisdokumente und Anhänge sollen in Deutsch abgegeben werden; eigene Dokumente der Betreiber und der Prüfbereicht können auch Englisch sein.
Nachweisdokument KI
Dokumentation der Kritischen Infrastruktur gemäß § 8a Absatz 3 BSIG. Enthält Angaben zur geprüften Kritischen Infrastruktur und zur Ansprechperson (KI.1 bis KI.7), die der KRITIS-Betreiber selbst ausfüllt und zeichnet. Die weiteren Dokumente und Anhänge müssen hiermit zusammen eingereicht werden. (Vorlage vom BSI)
Nachweisdokument P
Angaben zur Prüfung, den Ergebnissen und dem Prüfteam. Dieses Formular enthält die wichtigsten Ergebnisse und Anlagen, und wird von der prüfenden Stelle gezeichnet und gestempelt. (Die Vorlage vom BSI wurde im Oktober 2022 aktualisiert – u.a. um Systeme zur Angriffserkennung)
- Allgemeine Angaben zum Betreiber
- Abschnitt PD Durchführung der Prüfung: Angaben zur Art der Prüfung, Prüfgrundlage und Erläterungen, mögliche Zertifizierungen — mit separaten Anlagen PD.A, PD.B und PD.C (siehe unten)
- Abschnitt PE Prüfergebnis und Sicherheitsmängel: Einschätzung des Reifegrads von ISMS, BCMS und Angriffserkennung (SzA) beim Betreiber (Skala 1-5), Auflistung der Sicherheitsmängel und abgestimmter Umsetzungsplan als Anlage PE.A (siehe unten)
- Abschnitt PS Prüfende Stelle: Angaben zur Eignung der prüfenden Stelle und Prüfteam, Unabhängigkeit und Nachweise dafür als separate Anlage PS.A und PS.B (siehe unten)
Anlagen und Anhänge
Das Nachweisdokument P enthält folgende Anlagen:
- Anlage PD.A: Geltungsbereich und Netzstrukturplan
Beschreibung und grafische Darstellung des Geltungsbereichs der KRITIS-Anlage — das BSI hat hierzu Anforderungen in der Orientierungshilfe für Nachweise publiziert (G01-G13, N01-N10) - Anlage PD.B: Prüfplan (Vorlage vom BSI)
Informationen zum Ablauf der Prüfung mit Prüfthemen, Terminen, Standorten - Anlage PD.C (optional): Prüfgrundlage
Beschreibung der Prüfgrundlage, sofern kein oder nur teilweise ein B3S verwendet wurde mit Darstellung, wie die besonderen Anforderungen an Kritische Infrastrukturen berücksichtigt wurden - Anlage PE.A: Mängelliste (Vorlage vom BSI)
Liste der in der Prüfung gefundenen Sicherheitsmängel mit einem abgestimmten Umsetzungsplan zur Behebung der Mängel — die in geringfügige und schwerwiegende/erhebliche Abweichungen kategorisiert werden sollen. - Anlage PS.A: Nachweis Prüfverfahrenskompetenz
oder gleichwertige Kompetenznachweise für einen Mitarbeiter der Prüfstelle und mind. ein Mitglied des Prüfteams - Anlage PS.B: Unabhängigkeitserklärung
Unabhängigkeitserklärung für alle Mitglieder des Prüfteams - Selbsterklärung prüfende Stelle (optional) (Vorlage vom BSI)
Nur erforderlich, falls keine der Optionen im Nachweisdokument P (Abschnitt PS.3) zutreffen.
Quelle und Texte aus den BSI-Formularen KI und P, Stand 2021.
Die BSI Orientierungshilfe für Nachweise (OH-N) enthält auch Hinweise und Muster für Nachweise.
Prüfbericht
Im Prüfbericht dokumentieren KRITIS-Prüfer ihr Vorgehen in der Prüfung und die Ergebnisse der Prüfungshandlungen. Dazu zählen Beobachtungen, Feststellungen (bewertete Mängel und Abweichungen) und eine Einschätzung der IT-Sicherheit in der KRITIS-Anlage. Je nach Berufsstand und Unternehmen haben Berichte unterschiedliche Schwerpunkte.
Der Bericht wird dem BSI nur auf Nachfrage vom Betreiber zur Verfügung gestellt. Es gibt keine definierten Vorgaben an Form und Inhalt der Berichte, ein dokumentiertes Vorgehen in der Prüfung erleichtert die Nachvollziehbarkeit der Prüfung im Unternehmen und für Dritte (Prüfer, BSI) jedoch enorm:
- Prüfmethodik und Prüfstandard/Prüfgrundlage
- Methodik für Stichproben und Sampling
- Methodik zur Bewertung
- Auswahl von Anlagen, Standorten etc.
- Auswahl von Controls, Schwerpunkten und Nachweisen
- Beschreibung der KRITIS-Anlage, Schwellenwerte
- Dokumentation der Prüfhandlungen
- Dokumentation der Ergebnisse: Abweichungen, Mängel
- Dokumentation der Prüfungen, Termine, Erklärungen
- Einschätzungen, Bewertungen
- etc.
Mängel und Umsetzungsplan
In der KRITIS-Prüfdokumentation gibt es folgende Kategorien von Sicherheitsmängeln:
- Schwerwiegende Mängel stellen ein gravierendes, erhebliche Mängel ein großes Risiko dar.
Abweichungen müssen zeitnah beseitigt werden, es gibt akuten Handlungsbedarf, da erheblicher Schaden an der kritischen Dienstleistung zu erwarten ist.
Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert. - Geringfügiger Mangel stellen
ein Risiko
ohne akuten Handlungsbedarf dar, die Abweichung muss mittelfristig beseitigt werden.
Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert. - Empfehlung sind Verbesserungshinweise zur IT-Sicherheit und Kommentare zu Maßnahmen.
Die Empfehlungen werden im Prüfbericht dokumentiert, Mängelliste optional. - Keine Abweichung bedeutet eine Umsetzung der Anforderungen ohne Mangel.
Dies wird im Prüfbericht dokumentiert.
Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch angemessene Verbesserungsmaßnahmen behoben werden, wie im Umsetzungsplan der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt dann durch die verantwortlichen Fachbereiche und den Betrieb (möglichst in einem langfristigen Programm).
Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen nach dem Umsetzungsplan überwachen. Die Maßnahmen selbst werden (sollten) im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung und auch vorläufige Maßnahmen bei sehr langen Fristen verlangen.
Weitere Schritte
Übermittlung ans BSI
Nach der Prüfung übermitteln die Prüfer dem BSI als Ergebnis die die oben genannten Nachweisdokumente KI und P mit Anlagen, auf Deutsch. Die Dokumente sollen elektronisch ans BSI übermittelt werden. Das BSI prüft die Nachweise, Mängel und Maßnahmen formell und inhaltlich. Dabei kann es Rückfragen an Prüfer und Betreiber geben.
Bestanden?
Es gibt als Ergebnis von KRITIS-Prüfungen kein Zertifikat durch die Prüfer oder das BSI. Es gibt kein formelles Bestehen der Prüfung und auch keinen Bescheid als zertifizierter KRITIS-Betreiber — die Prüfung dokumentiert lediglich den Ist-Stand im Prüfzeitraum.
Nachfragen und weitere Prüfung
Es kann nach der Übermittlung der Prüfdokumentation zur Nachfragen des BSI an Prüfer und Betreiber zu formellen Themen, Feststellungen und Maßnahmen kommen. Ebenso kann das BSI später im weiteren Verlauf einen Bericht der Umsetzung verlangen. Die Mängelliste mit aktualisierten Umsetzungsständen müssen alle 1-6 Monate ans BSI übermittelt werden.
Das BSI kann sich nach §8a Abs. 4 BSIG durch Tiefenprüfungen auch selbst ein Bild der Umsetzung von KRITIS-Anforderungen bei Betreibern machen. Diese kann das BSI selbst durchführen oder extern veranlassen.
Weitere Informationen
Literatur
- Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, 28.08.2020
- Aktuelles für Betreiber und Prüfer, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Erfolgreich Nachweise einreichen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Aktualisierungen der Nachweisformulare und der Orientierungshilfen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Formulare
- Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, KRITIS-Nachweise kompakt, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Nachweisdokument KI, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 15.2.2022
- Nachweisdokument P, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 21.10.2022
- Muster Prüfplan PD.A, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 8.3.2022
- Muster Mängelliste PE.A (.XLS), Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 18.11.2021
- Muster Selbsterklärung, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 19.2.2020