KRITIS-Prüfungen

KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen in ihren KRITIS-Anlagen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen, die sie selbst veranlassen müssen. Die Prüfungen orientieren sich an BSI-Vorgaben und müssen von Betreibern selbst vorbereitet und organisiert werden.

Die Prüfungen sollten in einem langfristigen Prüfprogramm geplant und in ein Cyber Security Programm eingebunden werden, um Sicherheitsücken entdecken und nachhaltig mit Maßnahmen schließen zu können.

Dieser Abschnitt und die einzelnen Seiten zu Prüfungsthemen sind in Arbeit.

eigene Zusammenstellung Phasen KRITIS-Prüfungen
Phase Handlung Verantwortlich (A) Durchführung (R)
Vorbereitung
Planung Ablauf, Scope und Planung der Prüfung Geschäftsführung IT-Sicherheit
Prüfer Auswahl KRITIS-Prüfer und Beauftragung Geschäftsführung IT-Sicherheit
Grundlage Auswahl Prüfgrundlage und Standards Geschäftsführung IT-Sicherheit
Durchführung
Prüfung Durchführung §8a BSIG Nachweisprüfung Geschäftsführung KRITIS-Prüfer
Bericht Verfassen Prüfbericht und BSI-Formulare Geschäftsführung KRITIS-Prüfer
Ergebnisse Behandlung der Mängel und Maßnahmen Geschäftsführung KRITIS-Prüfer
Tiefenprüfung Mögliche Durchführung einer Tiefenprüfung BSI BSI-eigene Prüfer
Strategie
Prüfprogramm Mehrjähriges Prüfprogramm und Planung von Schwerpunkten, Anlagen, Stichproben Geschäftsführung KRITIS-Prüfer und
IT-Sicherheit
Verbesserungen Cyber Security-Programm zur Behebung von Mängeln und Feststellungen Geschäftsführung IT-Sicherheit

Vorbereitung

Planung

Vor der Prüfung müssen vom Betreiber grundlegende Entscheidungen und Vorbereitungen zum Ablauf und Scope der §8a BSIG-Nachweisprüfung getroffen werden:

  1. Zeiten und Termine: Zeitplanung der Prüfungshandlungen in den registrierten Anlagen mit betroffenen Personen, Interviews, Begehungen, Bereitstellung von Unterlagen, Fristen
  2. Zu prüfende Anlagen: Festlegung, welche Anlagen im Betrieb in den Prüfzyklus der KRITIS-Betroffenheit fallen und vom Prüfer geprüft werden müssen.
  3. Betroffene Standorte: Analyse, welche Standorte vom Betreiber und der einzelnen Anlagen in den Prüfung untersucht werden (müssen), bzw. im KRITIS-Geltungsbereich sind.
  4. Betroffene Bereiche: Analyse, welche Betriebsbereiche durch die Prüfung betroffen sein werden — IT, Produktion, Sicherheit — und Zeit und Vorbereitung einplanen müssen.
  5. Inhaltliche Schwerpunkte: Festlegung im Prüfprogramm oder anhand aktueller Ereignisse, welche IT-Systeme oder Security-Aspekte Schwerpunkte im aktuellen Prüfzyklus sein sollen.

Das Ergebnis ist ein konkreter Prüfplan für die KRITIS-Anlagen und BSIG-Nachweisprüfungen.

Prüfer

Die §8a BSIG-Nachweisprüfungen bei KRITIS-Betreibern dürfen nur von einem bestimmten Prüferkreis durchgeführt werden — den prüfenden Stellen. Diese müssen durch das BSI festgelegte Voraussetzungen erfüllen und dem BSI ihre Eignung nachweisen.

Als Teil der eigenen Prüfungsplanung wählen Betreiber geeignete KRITIS-Prüfer aus dem Kreis der prüfenden Stellen aus und beauftragen diese. Die prüfende Stelle wiederum stellt das Prüfteam mit den notwendigen Qualifikationen zusammen.

Grundlage

Die Prüfgrundlage bestimmt das methodische und inhaltliche Vorgehen in der §8a BSIG-Nachweisprüfung der KRITIS-Anlage(n). Der Betreiber legt die Prüfgrundlage zusammen mit dem Prüfer fest — das Vorgehen muss dem BSI die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen den den KRITIS-Anlagen demonstrieren können.

Es gibt verschiedene Möglichkeiten an KRITIS-Prüfgrundlagen — von Branchenstandards (B3S) über berufsständische Vorgaben bis zu Kriterien des BSI selbst.

Durchführung

Nachweisprüfung

In der §8a BSIG Nachweisprüfung bei KRITIS-Betreibern prüft der ausgewählte Prüfer den angemessenen Schutz der Kritischen Infrastrukturen in den gemeldeten KRITIS-Anlagen. Dazu führen die Prüfer geeignete Prüfhandlungen, Stichproben und Auswertungen durch, um die Angemessenheit und Wirksamkeit der IT-Sicherheit in den KRITIS-Anlagen zu bewerten.

Was wird geprüft?

Prüfer untersuchen Kritische Infrastrukturen in der Regel in drei Phasen:

  1. Definition und Konzeption: Untersuchung des Geltungsbereichs der KRITIS-Anlage. Der Prüfer sollte betriebliche Funktion und Abgrenzung der KRITIS-Anlage nachvollziehen und die zur Anlage gehörigen Prozesse, Komponenten und IT verstehen können .
  2. Angemessenheit: Prüfung, ob die in den Konzepten genannten Maßnahmen geeignet sind, IT- und Sicherheitsrisiken der KRITIS-Anlagen zu reduzieren
  3. Wirksamkeit: Stichproben der Effektivität, ob die vorhandenen Sicherheitsmaßnahmen wirklich wirksam waren.

Ergebnisse

Die Einschätzung des Prüfers dokumentiert dieser in seinen Arbeitspapieren und für den Betreiber pro KRITIS-Anlage im Prüfbericht und den BSI-Formularen. Die Formulare und Anhänge müssen fristgerecht vom Betreiber an das BSI übermittelt werden, das diese dann sichtet und prüft.

Die sich aus der Prüfung ergebenden Feststellungen und Mängel müssen vom Betreiber anschließend durch Verbesserungsmaßnahmen behoben werden.

Tiefenprüfung

Das BSI kann nach §8a Abs. 4 BSIG überprüfen, ob Betreiber die KRITIS-Anforderungen des BSIG einhalten. Diese Tiefenprüfung kann das BSI selbst beim Betreiber durchführen oder veranlassen (beauftragen).

Strategie

Prüfprogramm

Die Organisation der KRITIS-Prüfungen sollte von Betreibern strategisch angegangen werden — mit einem langfristigen Programm zur Planung der Nachweisprüfungen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.

Behebung

Ein Cyber Security Programm bei Betreibern zur Behebung der Mängel und Verbesserung der IT-Sicherheit kann bei der nachhaltigen Beseitigung der Mängel helfen. Die Mängel der Prüfungen sollten nach dem Prüfzyklus organisiert behoben werden — ein strukturiertes Programm hilft vor allem für systematische Mängel und Priorisierung von Risiken und Budget.