KRITIS-Prüfungen

KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen in ihren KRITIS-Anlagen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen, die sie selbst veranlassen müssen. Die Prüfungen orientieren sich an BSI-Vorgaben und müssen von Betreibern selbst vorbereitet und organisiert werden.

Die Prüfungen sollten in einem langfristigen Prüfprogramm geplant und in ein Cyber Security Programm eingebunden werden, um Sicherheitsücken entdecken und nachhaltig mit Maßnahmen schließen zu können.

Das BSI plant in 2021 unter dem Namen Formel K drei Initiativen zur Verbesserung der Prüfungs- und Nachweisqualität — mit übergreifenden Anforderungen, Definitionen des Stands der Technik und verbesserten Prüferqualifikationen.

Mehr Inhalte zu Prüfungen folgen in 2022.

eigene Zusammenstellung Phasen KRITIS-Prüfungen
Phase Handlung Verantwortlich (A) Durchführung (R)
Vorbereitung KRITIS-Prüfung
Planung Ablauf, Scope und Planung der Prüfung Geschäftsführung IT-Sicherheit
Prüfer Auswahl KRITIS-Prüfer und Beauftragung Geschäftsführung IT-Sicherheit
Grundlage Auswahl Prüfgrundlage und Standards Geschäftsführung IT-Sicherheit
Audit-Prep Vorbereitung und Testläufe der Prüfung IT-Sicherheit IT-Sicherheit
Die §8a BSIG Nachweisprüfung
Prüfung Durchführung §8a BSIG Nachweisprüfung Geschäftsführung KRITIS-Prüfer
Teilnahme Teilnahme als Geprüfte in der KRITIS-Prüfung Geschäftsführung Fachbereiche
Bericht Verfassen Prüfbericht und BSI-Formulare Geschäftsführung KRITIS-Prüfer
Maßnahmen Behandlung der Mängel und Maßnahmen Geschäftsführung Fachbereiche
Tiefenprüfung Mögliche Durchführung einer Tiefenprüfung BSI BSI-Prüfer
KRITIS-Strategie
Prüfprogramm Mehrjähriges Prüfprogramm und Planung von Schwerpunkten, Anlagen, Stichproben Geschäftsführung KRITIS-Prüfer und
IT-Sicherheit
Verbesserungen Cyber Security-Programm zur Behebung von Mängeln und Feststellungen Geschäftsführung IT-Sicherheit

Vorbereitung KRITIS-Prüfung

Planung

Im Vorlauf der BSIG KRITIS-Nachweisprüfung müssen von KRITIS-Betreibern grundlegende Entscheidungen und Vorbereitungen zum Ablauf und Scope der §8a BSIG-Nachweisprüfung getroffen werden:

  1. Zeiten und Termine: Zeitplanung der Prüfungshandlungen in den registrierten Anlagen mit betroffenen Personen, Interviews, Begehungen, Bereitstellung von Unterlagen, Fristen
  2. Zu prüfende Anlagen: Festlegung, welche Anlagen im Betrieb in den Prüfzyklus der KRITIS-Betroffenheit fallen und vom Prüfer geprüft werden müssen.
  3. Betroffene Standorte: Analyse, welche Standorte vom Betreiber und der einzelnen Anlagen in den Prüfung untersucht werden (müssen), bzw. im KRITIS-Geltungsbereich sind.
  4. Betroffene Bereiche: Analyse, welche Betriebsbereiche durch die Prüfung betroffen sein werden — IT, Produktion, Sicherheit — und Zeit und Vorbereitung einplanen müssen.
  5. Inhaltliche Schwerpunkte: Festlegung im Prüfprogramm oder anhand aktueller Ereignisse, welche IT-Systeme oder Security-Aspekte Schwerpunkte im aktuellen Prüfzyklus sein sollen.

Das Ergebnis ist ein konkreter Prüfplan für die KRITIS-Anlagen und BSIG-Nachweisprüfungen, der im eigenen Betrieb und mit den KRITIS-Prüfern abgestimmt werden kann.

Prüfer

Die §8a BSIG-Nachweisprüfungen bei KRITIS-Betreibern dürfen nur von einem bestimmten Prüferkreis durchgeführt werden — den prüfenden Stellen. Diese müssen durch das BSI festgelegte Voraussetzungen erfüllen und dem BSI ihre Eignung nachweisen.

Als Teil der eigenen Prüfungsplanung wählen Betreiber geeignete KRITIS-Prüfer aus dem Kreis der prüfenden Stellen aus und beauftragen diese. Die prüfende Stelle wiederum stellt das Prüfteam mit den notwendigen Qualifikationen zusammen.

Prüfgrundlage

Die Prüfgrundlage bestimmt das methodische und inhaltliche Vorgehen in der §8a BSIG-Nachweisprüfung der KRITIS-Anlage(n). Der Betreiber legt die Prüfgrundlage zusammen mit dem Prüfer fest — das Vorgehen muss dem BSI die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen den den KRITIS-Anlagen demonstrieren können.

Es gibt verschiedene Möglichkeiten an KRITIS-Prüfgrundlagen — von Branchenstandards (B3S) über berufsständische Vorgaben bis zu Kriterien des BSI selbst.

Audit-Prep

Die KRITIS-Prüfung sollten beim Betreiber umfangreich vorbereitet und zentral koordiniert werden. Dies beinhaltet zum besseren Gelingen der Prüfung optimaler­weise auch Testläufe von Prüfterminen und eine Vorbereitung der geprüften Bereiche und Ansprechpartner samt ihrer geplanten Evidenzen und Nachweise.

Die §8a BSIG Nachweisprüfung

Durchführung

In der §8a BSIG Nachweisprüfung bei KRITIS-Betreibern prüft der ausgewählte Prüfer den angemessenen Schutz der Kritischen Infrastrukturen in den gemeldeten KRITIS-Anlagen. Dazu führen die Prüfer geeignete Prüfhandlungen, Stichproben und Auswertungen durch, um die Angemessenheit und Wirksamkeit der IT-Sicherheit in den KRITIS-Anlagen zu bewerten.

Was wird geprüft?

Prüfer untersuchen Kritische Infrastrukturen in der Regel in drei Phasen:

  1. Definition und Konzeption: Untersuchung des Geltungsbereichs der KRITIS-Anlage. Der Prüfer sollte betriebliche Funktion und Abgrenzung der KRITIS-Anlage nachvollziehen und die zur Anlage gehörigen Prozesse, Komponenten und IT verstehen können .
  2. Angemessenheit: Prüfung, ob die in den Konzepten genannten Maßnahmen geeignet sind, IT- und Sicherheitsrisiken der KRITIS-Anlagen zu reduzieren
  3. Wirksamkeit: Stichproben der Effektivität, ob die vorhandenen Sicherheitsmaßnahmen wirklich wirksam waren.

Teilnahme

An der Prüfung nehmen in den einzelnen Terminen (Audit Sessions) folgende Parteien teil:

Ergebnis der Prüfung

Bericht

Die Einschätzung des Prüfers dokumentiert dieser in seinen Arbeitspapieren und für den Betreiber pro KRITIS-Anlage im Prüfbericht und den BSI-Formularen. Die BSI-Formulare und Anhänge müssen fristgerecht vom Betreiber an das BSI übermittelt werden, das diese dann sichtet und prüft.

* Quelle und Texte aus den BSI-Formularen KI und P, Stand 2021. Die BSI Orientierungshilfe für Nachweise (OH-N) enthält weiterhin noch Hinweise und Muster für Nachweise.

Maßnahmen

Die sich aus der Prüfung ergebenden Feststellungen und Mängel müssen vom Betreiber anschließend durch Verbesserungsmaßnahmen behoben werden.

Tiefenprüfung

Das BSI kann nach §8a Abs. 4 BSIG überprüfen, ob Betreiber die KRITIS-Anforderungen des BSIG einhalten. Diese Tiefenprüfung kann das BSI selbst beim Betreiber durchführen oder durch externe Prüfer veranlassen.

KRITIS-Strategie

Prüfprogramm

Die Organisation der KRITIS-Prüfungen sollte von Betreibern strategisch angegangen werden — mit einem langfristigen Programm zur Planung der Nachweisprüfungen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.

Behebung

Ein Cyber Security Programm bei Betreibern zur Behebung der Mängel und Verbesserung der IT-Sicherheit kann bei der nachhaltigen Beseitigung der Mängel helfen. Die Mängel der Prüfungen sollten nach dem Prüfzyklus organisiert behoben werden — ein strukturiertes Programm hilft vor allem für systematische Mängel und Priorisierung von Risiken und Budget.

up

Weitere Informationen

Literatur

  1. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.1, 28.08.2020
  2. Aktuelles für Betreiber und Prüfer, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  3. Informationen zur Wahl des Geltungsbereichs, Infos für Prüfer, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  4. Erfolgreich Nachweise einreichen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  5. Aktualisierungen der Nachweisformulare und der Orientierungshilfen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  6. FORMEL K - mit Hochgeschwindigkeit zu mehr IT-Sicherheit in Kritischen Infrastrukturen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Formulare

  1. Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, Webseite Service für KRITIS-Betreiber Dokumente und Materialien, Bundesamt für Sicherheit in der Informationstechnik, o.D.