Anforderungen KRITIS-Prüfungen

Das BSI hat im Mai 2023 verbindliche Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) basieren auf §8a (5) BSIG und definieren einige der wichtigsten BSI-Vorgaben für KRITIS-Prüfungen nun normativ.

Die Anforderungen definieren verbindliche Vorgaben zur Durchführung der Prüfung (D), zu einzureichenden Nachweise (N) und zu prüfenden Stellen (P). Die Vorgaben sind teilweise neu, machen aber teilweise auch bestehende BSI-Dokumente und Orientierungshilfen für Prüfungen verbindlich. Erwartungen und Randbedingungen für Prüfungen werden damit zentral (etwas) klarer.

Grundsätzliche Anforderungen §8a (5) BSIG

Prüfung

Für die Durchführung von Prüfungen und speziell einigen Prüfschritten gibt es verbindliche Anforderungen an die Prüfer: das Vier-Augen-Prinzip und der Umgang mit der Mängelliste und Altmängeln.

Vier-Augen

Bestimmte Prüfbereiche und Schritte von KRITIS-Prüfungen müssen in einem 4-Augen-Prinzip durchgeführt werden.

Mängelliste

Der Umgang mit Altmängeln aus früheren KRITIS-Prüfungen wird genauer reglementiert.

up

Prüfende Stellen

Einige Vorgabe zu den Prüfern und prüfenden Stellen werden verbindlich gemacht – vor allem zu Formalien und Unabhängigkeit.

up

Berichtswesen

Das Berichtswesen und die Einreichung von Nachweisen wird formeller konkretisiert, sowohl im Prüfbericht der Prüfer als auch den offiziellen Nachweisdokumenten.

Prüfbericht

Nachweise und Formulare

Die vorhandenen Vorlagen vom BSI zur Nachweiserbringung sind nun verbindlich zu nutzen, die Inhalte müssen in deutscher Sprache dokumentiert werden. (N.BN.01, N.BN.02)

up

Geltungsbereich

Die Anforderungen an die Dokumentation des Geltungsbereiches (GBD) und Netzstrukturplan (NSP) aus der Orientierungshilfe für Nachweise (OH-N) des BSI sind nun nach §8a (5) BSIG verbindlich.

up

Fristen und Umsetzung

Die Anforderungen sind ab 1. Juni 2023 verbindlich. Einige wichtige Anforderungen werden aber erst ab 1. Januar 2024 verbindlich:

Weitere Vorgaben zur Durchführungen von Prüfungen sind zukünftig möglich – auch parallel zur NIS2-Umsetzung in Deutschland.

up

Weitere Informationen

Quellen

  1. Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 12.05.2023

Formulare

  1. Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, alle KRITIS-Nachweise und Nachweise, Bundesamt für Sicherheit in der Informationstechnik, o.D.