Anforderungen KRITIS-Prüfungen
Das BSI hat im Mai 2023 verbindliche Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) basieren auf §8a (5) BSIG und definieren einige der wichtigsten BSI-Vorgaben für KRITIS-Prüfungen nun normativ.
Die Anforderungen bestimmen verbindliche Vorgaben zur Durchführung der Prüfung (D), zu einzureichenden Nachweisen (N) und zu prüfenden Stellen (P). Die Vorgaben sind teilweise neu, machen aber teilweise auch bestehende BSI-Dokumente und Orientierungshilfen für Prüfungen verbindlich. Erwartungen und Randbedingungen für Prüfungen werden damit zentral (etwas) klarer.
Grundsätzliche Anforderungen §8a (5) BSIG
Prüfung
Für die Durchführung von Prüfungen und speziell einigen Prüfschritten gibt es verbindliche Anforderungen an die Prüfer: das Vier-Augen-Prinzip und der Umgang mit der Mängelliste und Altmängeln.
Vier-Augen
Bestimmte Prüfbereiche und Schritte von KRITIS-Prüfungen müssen in einem 4-Augen-Prinzip
durchgeführt werden.
- Vorgehen: Entsprechende Themen müssen durch zwei oder mehr Prüfer geprüft werden, die unabhängig voneinander qualifiziert sind, zu eigenständigen Einschätzungen kommen und das betreffende Thema
unmittelbar
prüfen. Werden Themen aufgeteilt, muss das einer Qualitätskontrolle unterliegen; einzelne Prüfer dürfen nicht mehr als ⅔ zeitlichen Anteil prüfen. (D.4A.02) 2024 - Prüfungsbereiche: In folgenden Themenfeldern und Bereichen von KRITIS-Prüfungen muss das Vier-Augen-Prinzip eingesetzt werden: (D.4A.01) 2024
- Geltungsbereich
- Referenzierte Zertifikate wie ISO/IEC 27001 und deren Abdeckung, Eignung und Relevanz für den KRITIS-Geltungsbereich
- Vorgehen zur Risikoanalyse und -behandlung
- Prüfung der vorigen Mängelliste
- Vor-Ort Prüfungen (Inaugenscheinnahme, Begehung, Beobachtung)
- Dokumentation: Themen, die im Vier-Augen-Prinzip geprüft wurden, müsen im Prüfplan gekennzeichnet werden, inklusive der Prüfer und zeitlichen Aufteilung. (N.4A.01) 2024
Mängelliste
Der Umgang mit Altmängeln aus früheren KRITIS-Prüfungen wird genauer reglementiert.
- Vorige Prüfungen: Betreiber müssen Prüfer über frühere Prüfungen unterrichten. (D.AM.01)
- Prüfung alter Mängel: Betreiber müssen Prüfer über den Status alter Mängel unterrichten; Prüfer müssen den aktuellen Umsetzungsstand der alten Mängelliste prüfen und plausibilisieren. (D.AM.02, D.AM.03) 2024
- Prüfung aktueller Umsetzungsplan: Der Umsetzungsplan der aktuellen Mängelliste muss dem Prüfer zur Verfügung gestellt werden. Prüfer müssen dann die Eignung der geplanten Maßnahmen beurteilen und dies dokumentieren. (D.PE.12) 2024
- Nachweis: Die Art der Prüfung (Erst-/Folgeprüfung) und falls relevant die Bestätigung der Überprüfung voriger Mängel inkl. aktuellem Umsetzungsstatus sind in die aktuellen Nachweise aufzunehmen. Nicht abgeschlossene Altmängel sind in die aktuelle Mängelliste aufzunehmen. (N.AM.01, N.AM.02, N.AM.03)
Prüfende Stellen
Einige Vorgaben zu den Prüfern und prüfenden Stellen werden verbindlich gemacht – vor allem zu Formalien und Unabhängigkeit.
- Unabhängigkeit: Die prüfende Stelle und das Prüfteam müssen gegenüber dem Betreiber unternehmensfremd und rechtlich/wirtschaftlich unabhängig sein und bei der Prüfung objektiv vorgehen. (P.UP.01, P.UP.02, N.UP.01)
- Interne Revisionen dürfen als prüfende Stelle und Prüfer handeln, wenn ein wirksames Revisionssystem vorliegt und die Wirksamkeit durch Einhaltung der IIA-Standards und speziell durch ein Quality Assessment (QA) nach IDW PS 983 oder DIIR Revisionsstandard Nr. 3 nachgewiesen wird. (P.IR.01, N.IR.01)
Berichtswesen
Das Berichtswesen und die Einreichung von Nachweisen wird formeller konkretisiert, sowohl im Prüfbericht der Prüfer als auch den offiziellen Nachweisdokumenten.
Prüfbericht
- Prüfbericht: Prüfer müssen die Ergebnisse der KRITIS-Prüfung in einem Prüfbericht als eigenständiges Dokument darlegen. Der Bericht muss sowohl strukturiert und frei von Widersprüchen sein, als auch nachvollziehbare Ergebnisse enthalten. (D.PE.01, D.PE.02, D.PE.04)
- Formalien: Der Bericht muss in deutsch oder englisch verfasst und klar versioniert und bezeichnet sein. (D.PE.03, D.PE.05)
- Informationen: Der Bericht muss mindestens den Geltungsbereich, das Prüfziel, die Zeiten der Prüfung und die Prüfer / prüfende Stelle dokumentieren. (D.PE.06)
- Prüfschritte: Alle Prüfschritte müssen im Bericht nachvollziehbar dokumentiert werden – orientiert am Prüfplan. Der Bericht muss insbesondere Informationen zu den Prüfobjekten und Prüfmethoden umfassen. (D.PE.07) 2024
- Stichproben: Prüfer müssen die Auswahl von Stichproben in der Prüfung erklären und bestätigen, dass sich die Stichproben von der vorigen Prüfung unterscheiden. Die Betreiber müssen den Prüfern deshalb Informationen zu früheren Stichproben und deren Auswahl zur Verfügung stellen. (D.PE.08, D.PE.09)
- Mängel: Der Prüfbericht muss die Liste der Sicherheitsmängel enthalten. (D.PE.10)
- Betreiber: Prüfer müssen Betreibern den Prüfbericht zur Verfügung stellen. Auf Nachfrage ist der Bericht vom Betreiber dem BSI mit Anhängen zu übermitteln. (N.PE.01, D.PE.11)
Nachweise und Formulare
Die vorhandenen Vorlagen vom BSI zur Nachweiserbringung sind nun verbindlich zu nutzen, die Inhalte müssen in deutscher Sprache dokumentiert werden. (N.BN.01, N.BN.02)
- Nachweisdokument KI und Nachweisdokument P zur Dokumentation der Kritischen Infrastruktur und Prüfung (N.BN.03, N.BN.04)
- Der Nachweis muss die Anlage PD.A (Geltungsbereich) enthalten (N.BN.05)
- Der Nachweis muss die Anlage PD.B (Prüfplan) und Anlage PE.A (Mängelliste und Umsetzungsplan) enthalten (N.BN.06, N.BN.07)
- Der Nachweis muss die Anlage PD.C (Prüfgrundlage) enthalten (N.BN.09)
- Der Nachweis muss die Anlage PS.A (Nachweis Kompentenz) enthalten (N.BN.08)
- Bei Zusatzprüfungen muss die Anlage PD.B (Prüfplan) abgedeckte Themen und Prüfmethodik erklären (N.BN.10)
Geltungsbereich
Die Anforderungen an die Dokumentation des Geltungsbereiches (GBD) und Netzstrukturplan (NSP) aus der Orientierungshilfe für Nachweise (OH-N) des BSI sind nun nach §8a (5) BSIG verbindlich.
- Geltungsbereich: Die Dokumentation als Anlage PD.A zum Nachweisdokument P muss die G-Kriterien erfüllen. (N.DG.01)
- Netzstrukturplan: Die Dokumentation vom NSP als Teil der Anlage PD.A zum Nachweisdokument P muss die N-Kriterien erfüllen. (N.DG.02)
Fristen und Umsetzung
Die Anforderungen sind ab 1. Juni 2023 verbindlich. Einige wichtige Anforderungen werden aber erst ab 1. Januar 2024 verbindlich:
- Vier-Augen Prinzip (D.4A.01, D.4A.02, N.4A.01) 2024
- Prüfschritte (D.PE.07, D.PE.12) 2024
- Mängelliste Prüfung Altmängel (D.AM.02, D.AM.03) 2024
- Interne Revision: QA nach IDW oder DIIR (N.IR.01) 2024
Weitere Vorgaben zur Durchführungen von Prüfungen sind zukünftig möglich – auch parallel zur NIS2-Umsetzung in Deutschland.
Weitere Informationen
Quellen
- Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 12.05.2023
Formulare
- Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, alle KRITIS-Nachweise und Nachweise, Bundesamt für Sicherheit in der Informationstechnik, o.D.