KRITIS-Prüfungen
KRITIS-Betreiber müssen dem BSI die Umsetzung angemessener Cybersecurity Maßnahmen in ihren KRITIS-Anlagen alle zwei Jahre durch §8a BSIG Prüfungen nachweisen. Die Prüfungen folgen formellen Vorgaben des BSI (GAiN), werden von KRITIS-Prüfern durchgeführt und von den Betreibern selbst veranlasst.
In den Prüfungen finden die Prüfer (wahrscheinlich) Mängel in der IT-Sicherheit bei Betreibern, die als Teil der Ergebnisse und Nachweise ans BSI berichtet und danach von Betreibern behoben werden müssen. Langfristig sollten Maßnahmen in einem Security Programm und Prüfungen in einem KRITIS-Prüfprogramm gesteuert werden.
KRITIS-Prüfungen bestehen – Erfahrungen aus der Praxis
Die Rolle von Prüfungen in Kritischen Infrastrukturen und wie Betreiber
sich vorbereiten.
Ein Gespräch über Helmkameras, 50 KRITIS-Anlagen und wie man Prüfungen (nicht) besteht.
Mit Lutz Naake
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 46 Min ∙ 14.2.2022
Änderungen ab 2024
NIS2 und KRITIS-Dachgesetz
Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz werden sich die Nachweispflichten betroffener Unternehmen in den nächsten Jahren ändern. Die Nachweispflichten haben sich in Entwürfen mehrmals geändert – aktuell mit einem 3-Jahreszyklus für Betreiber (KRITIS) und Stichproben bei den Einrichtungen.
Betreiber kritischer Anlagen | Einrichtungen | |||
---|---|---|---|---|
Besonders wichtig | Wichtig | |||
Gesetz | NIS2UmsuCG | DachG | NIS2UmsuCG | NIS2UmsuCG |
Zeitraum | ab 2025 | ab 2026 | ab 2025 | ab 2025 |
Pflicht | §39 (1) | §11 | §63 | §64 |
Prüfungen | alle drei Jahre | Teil von Audits | Stichproben durch BSI | |
Inhalt | IT-Sicherheit Meldepflicht SzA |
Resilienz | IT-Sicherheit Meldepflicht |
IT-Sicherheit Meldepflicht |
Scope | Unternehmen* | Unternehmen* | Unternehmen | Unternehmen |
Stichproben | Tiefenprüfung | Nachweisqualität | Risikobasiert | bei Anlass |
Empfänger | BSI | BBK | BSI | BSI |
Die Betreiber von kritischen Anlagen müssen dem BSI Nachweise für die Maßnahmen nach §§30-31 alle drei Jahre durch Prüfungen und Audits erbringen. Das BSI hat die Befugnis, von sich aus Betreiber kritischer Anlagen als besonders wichtige Einrichtung zu prüfen. §63 (5)
Einrichtungen müssen dem BSI die Umsetzung der Maßnahmen nicht regelmäßig nachweisen, das BSI kann Einrichtungen aber zu Prüfungen verpflichten, Nachweise verlangen und selbst mit Tiefenprüfungen prüfen (lassen). §63
Vorbereitung der KRITIS-Prüfung
Prüfplanung
Vor der Prüfung
Vor KRITIS-Nachweisprüfungen müssen von KRITIS-Betreibern grundlegende Entscheidungen und Vorbereitungen zum Ablauf und Scope der §8a BSIG-Nachweisprüfung getroffen werden:
- Zeiten und Termine: Zeitplanung der Prüfungshandlungen in den registrierten Anlagen mit betroffenen Personen, Interviews, Begehungen, Bereitstellung von Unterlagen, Fristen.
- Zu prüfende Anlagen: Festlegung, welche Anlagen im Betrieb in den Prüfzyklus der KRITIS-Betroffenheit fallen und vom Prüfer geprüft werden müssen.
- Betroffene Standorte: Analyse, welche Standorte von Anlagen und vom Betreiber in der Prüfung untersucht werden (müssen), bzw. im KRITIS-Geltungsbereich sind.
- Betroffene Bereiche: Analyse, welche Betriebsbereiche durch die Prüfung betroffen sind — IT, Produktion, Sicherheit — und wieviel Zeit und Vorbereitung Betreiber einplanen müssen.
- Inhaltliche Schwerpunkte: Festlegung im Prüfprogramm oder anhand aktueller Ereignisse, welche IT-Systeme oder Security-Aspekte Schwerpunkte im aktuellen Prüfzyklus sind.
- Audit-Preparation: Vorbereitung der KRITIS-Prüfung in der Organisation und den Fachbereichen, Sammlung von Nachweisen, Übungen und Testdurchläufe der Prüfungen.
Die Vorbereitung, Koordinierung und Steuerung der Prüfung kann beim Betreiber von einer eigenen KRITIS-Organisation als Projekt-Organisation oder Stabsstelle verantwortet werden.
Auswahl der KRITIS-Prüfer
Die §8a BSIG-Nachweisprüfungen bei KRITIS-Betreibern dürfen nur von einem bestimmten Prüferkreis durchgeführt werden — den prüfenden Stellen. Diese müssen durch das BSI festgelegte Voraussetzungen erfüllen und ihre Eignung und die des Prüfteams nachweisen.
Als Teil der eigenen Prüfungsplanung wählen Betreiber geeignete KRITIS-Prüfer aus dem Kreis der prüfenden Stellen aus und beauftragen diese. Die prüfende Stelle wiederum stellt das Prüfteam mit den notwendigen Qualifikationen zusammen.
Prüfgrundlage und Standards
Die Prüfgrundlage bestimmt das methodische und inhaltliche Vorgehen in der §8a BSIG-Nachweisprüfung der KRITIS-Anlage(n). Der Betreiber legt die Prüfgrundlage zusammen mit dem Prüfer fest — das Vorgehen muss dem BSI die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen in den KRITIS-Anlagen demonstrieren können.
Es gibt verschiedene Möglichkeiten für KRITIS-Prüfgrundlagen — von Branchenstandards (B3S) über berufsständische Vorgaben bis zu Kriterien des BSI selbst.
Durchführung der KRITIS-Prüfung
Was passiert in der Prüfung?
In der §8a BSIG Nachweisprüfung prüfen KRITIS-Prüfer bei KRITIS-Betreibern die Schutzmaßnahmen der Kritischen Infrastrukturen in den gemeldeten KRITIS-Anlagen. Dazu führen die Prüfer Prüfhandlungen durch, um vorhandene Cyber Security Maßnahmen zu bewerten.
In der KRITIS-Prüfung sind in den Audit Sessions folgende Aspekte wichtig:
- Teilnehmer: Prüfer und die geprüften Fachbereiche, Experten und IT
- Themen: KRITIS, Cyber Security, Risiko-Management, IT und Steuerung
- Prüfhandlungen: Interviews, Dokumenten-Reviews, Nachweise und Protokolle
Anforderungen
Das formelle Vorgehen in der Prüfung ist vom BSI in Anforderungen nach §8a (5) BSIG seit 2023 normativ definiert. Die Anforderungen legen Vorgaben zum Vorgehen (Prüfschritte, Vier-Augen-Prinzip), zu Nachweisdokumenten (verbindliche Nutzung der BSI-Vorlagen), zum Umgang mit Mängeln und zur Dokumentation im Prüfbericht fest.
Methodik
Das Prüfvorgehen einer KRITIS-Prüfung teilt sich üblicherweise in mehrere Phasen auf — abhängig von der Prüfgrundlage, KRITIS-Sektor und dem ausführenden KRITIS-Prüfteam.
Was wird geprüft?
Prüfer untersuchen Kritische Infrastrukturen in KRITIS-Prüfungen in der Regel in drei Phasen:
1Grundlagen: Untersuchung des Geltungsbereichs der KRITIS-Anlage.
Der Prüfer sollte die Funktion der KRITIS-Anlage und dazugehöriger Prozesse und IT nachvollziehen können.
2Angemessenheit von IT-Sicherheit: Prüfung, ob die genannten Maßnahmen geeignet und angemessen sind, um die IT- und Sicherheitsrisiken der KRITIS-Anlagen zu reduzieren.
3Wirksamkeit von Kontrollen: Auswahl und Untersuchung von Stichproben, ob die Kontrollen für IT-Sicherheit wirklich wirksam waren und umgesetzt wurden (Effektivität).
Grundlagenprüfung
In der Grundlagenprüfung — der ersten Phase der Prüfung (noch vor der tatsächlichen Hauptprüfung) — untersuchen die Prüfer das Vorgehen und die Definitionen des Betreibers in seinen KRITIS-Anlagen und der Prüfung.
- Geltungsbereich: Prüfung, ob der Geltungsbereich vollständig und im Sinne von KRITIS verständlich ist — kann die KRITIS-Anlage nachvollzogen werden? Das BSI hat Empfehlungen und Erfahrungen aus der Praxis an Geltungsbereiche publiziert.
- Verantwortung: Klärung der grundlegenden Verantwortungen beim Betreiber zum Thema KRITIS und Anlagen mit der Geschäftsführung und KRITIS-Leitung.
- Prüfplanung: Analyse und Bewertung der Prüfplanung des Betreibers für die KRITIS-Prüfung inkl. der Prüfgrundlage (OH-N, B3S, BSI), Control Set usw.
- Vorgehen: Dabei sprechen die Prüfer mit den KRITIS-Verantwortlichen beim Betreiber und prüfen KRITIS-Unterlagen und Dokumentationen.
Angemessenheitsprüfung
In der Angemessenheitsprüfung — der zweiten Phase der Prüfung — beurteilen die Prüfer die Angemessenheit von Sicherheitsmaßnahmen und Kontrollen beim Betreiber in der KRITIS-Anlage — die Planung und Umsetzung von Maßnahmen.
- Prüferisches-Soll vs. Betreiber-Ist: Aufnahme des Ist-Zustandes der IT-Sicherheit in der KRITIS-Anlage und Abgleich mit dem Soll-Zustand der gewählten Prüfgrundlage.
- Angemessenheit von Kontrollen: Prüfung und Beurteilung, ob Sicherheitsmaßnahmen angemessen geplant und umgesetzt sind — werden KRITIS-Risiken organisiert gemindert?
- Vorgehen: In dieser Phase sprechen die Prüfer mit den IT- und Prozess-Verantwortlichen sowie Control Ownern und prüfen die Dokumentationen von Sicherheitsmaßnahmen und IT.
Wirksamkeitsprüfung
In der Wirksamkeitsprüfung, der wichtigsten Phase der Prüfung, untersuchen die Prüfer die Umsetzung und Effektivität der Cyber Security Maßnahmen in der KRITIS-Anlage.
- Durchführung: Prüfung, ob die Kontrollen (Sicherheitsmaßnahmen) wie vorgesehen durchgeführt werden — funktionieren die Kontrollen und erreichen sie ihr Kontrollziel?
- Nachvollziehbarkeit: Untersuchung, ob die Durchführung der Kontrollen durch Dritte nachvollzogen werden kann: finden sich Nachweise in Systemen, Protokollen oder Logs?
- Stichproben: Prüfer wählen für die Kontrollen nach Parametern (Grundgesamtheit, Frequenz, Risiko) Stichproben aus und bewerten diese auf Abweichungen.
- Vorgehen: Dabei untersuchen Prüfer Nachweise aus Systemen und Tests, analysieren die Daten von Kontrollen in IT-Systemen und vollziehen Änderungen nach.
In der Prüfung
Prüfhandlungen
In der Prüfung können folgende Prüfhandlungen vom Prüfteam durchgeführt werden:
- Interviews: Strukturierte Gespräche mit Verantwortlichen beim Betreiber zu bestimmten Themen (Anlagen, Prozesse, IT) und Kontrollen.
- Review von Dokumenten: Prüfung von Unterlagen auf Vollständigkeit, Inhalt und formelle Korrektheit (Dokumentenlenkung, Versionen, Daten, Änderungen)
- Review von Controls: Prüfung der Planung und Umsetzung von Maßnahmen durch Einsicht in IT-Systeme und Nachvollzug von Prozessen
- Review von Nachweisen: Prüfung von Protokollen, Log-Dateien, Auswertungen, Statistiken
- Begehung: Prüfung der Zustände vor Ort in Anlagen, Rechenzentren und Geschäftsräumen
Themen
Themen, die in Security-Prüfungen häufig abgefragt und getestet werden — dies ist jedoch stark vom gewählten KRITIS-Sicherheitsstandard und der Prüfgrundlage abhängig.
- Governance: Prozesse, Rollen und Vorgaben, die beim Betreiber in der KRITIS-Anlage das Management von Informationssicherheit (ISMS), Risiken, Business Continuity (BCM) und IT-Notfallmanagement und KRITIS verankern und selbst überprüfen und verbessern.
- Angriffserkennung und Schwachstellen: Prozesse und Systeme zur Detektion von Angriffen, Vorfällen und Schwachstellen, und zur Reaktion, Überprüfung und Behebung, ab 2023 stark erweitert um die Orientierungshilfe Angriffserkennung (OH SzA)
- Technische IT-Sicherheit: Themen rund um technische und IT-Sicherheitsmaßnahmen: Hardware, sicherer IT-Betrieb, Software, Betriebssysteme, Entwicklungsprozesse
- Schnittstellen: Netzübergänge, Firewalls, externe Zugänge, remote Access und VPN
- Personal und Physische Sicherheit: Zugangs- und Zutrittsberechtigungen und deren Management (IAM), Schutzmaßnahmen von Gebäuden, Anlagen, Energie/Klima, Perimeter
- Externe: Themen rund um Risiken und Steuerung von externen Mitarbeitern, Lieferanten und Dienstleistern (IT-Provider) in der KRITIS-Anlage, samt Berechtigungen und Verträge
Teilnahme
An den einzelnen Terminen von KRITIS-Prüfungen nehmen üblicherweise folgende Gruppen teil, in unterschiedlicher Zusammensetzung:
- Das Prüfteam mit den KRITIS-Prüfern: Prüfungsleiter und Prüfer
- Sicherheitsmanagement zu zentralen Themen wie ISMS, Governance, Risiken, Kontrollen
- Geprüfte Fachbereiche mit Ansprechpartnern und Experten zu Prozessen und Anlagen
- IT und Betrieb mit Ansprechpartnern und Experten zu IT-Systemen und Anwendungen
- Koordinatoren der Prüfung, Compliance und KRITIS-Verantwortliche, falls vorhanden
Am Ende der Prüfung
Feststellungen und Bewertung
Prüfurteil
Während der Prüfhandlung bis zum Abschluss des Prüfberichts bewertet das Prüfteam die vorgefundene Situation, sammelt Nachweise und fällt Urteile. Das gesamte Prüfurteil des Prüfteams basiert auf vorgefundenen Abweichungen und Lücken (Schwachstellen) im Prüfzeitraum, der vor allem die Vergangenheit betrachtet. Am Ende steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben.
KRITIS-Prüfungen testen, ob und wie die gesetzlichen KRITIS-Anforderungen durch Cyber Security Maßnahmen umgesetzt sind. Stellen KRITIS-Prüfer im Rahmen der Prüfhandlungen dazu Abweichungen fest, bewerten sie diese in der offiziellen Prüfdokumentation.
Mängel und Umsetzungsplan
In KRITIS-Prüfungen werden die Mängel nach Vorgabe des BSI in Kategorien bewertet:
- Schwerwiegende Mängel stellen ein gravierendes, erhebliche Mängel ein großes Risiko dar.
Abweichungen müssen zeitnah beseitigt werden, es gibt akuten Handlungsbedarf, da erheblicher Schaden an der kritischen Dienstleistung zu erwarten ist.
Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert. - Geringfügiger Mängel stellen
ein Risiko
ohne akuten Handlungsbedarf dar, die Abweichung muss mittelfristig beseitigt werden.
Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert. - Empfehlungen sind Verbesserungshinweise zu Sicherheit und Kommentare zu Maßnahmen.
Die Empfehlungen werden im Prüfbericht dokumentiert, Mängelliste optional. - Keine Abweichung bedeutet eine Umsetzung der Anforderungen ohne Mangel.
Dies wird im Prüfbericht dokumentiert.
Die Mängelliste mit dem Umsetzungsplan enthält als Hauptergebnis der KRITIS-Prüfung die vorgefundenen IT-Sicherheitsmängel, abgestimmten Maßnahmen und Fristen zur Behebung. Die Mängel werden in den eben genannten Kategorien und bewertet.
Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch angemessene Verbesserungsmaßnahmen behoben werden, wie im Umsetzungsplan der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt dann durch die verantwortlichen Fachbereiche und den Betrieb (möglichst in einem langfristigen Programm).
Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen nach dem Umsetzungsplan überwachen. Die Maßnahmen selbst werden (sollten) im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung und auch vorläufige Maßnahmen bei sehr langen Fristen verlangen.
Prüfbericht
Das Prüfteam dokumentiert sein Vorgehen in der Prüfung und die Ergebnisse der Prüfungshandlungen in einem Prüfbericht. Dazu zählen Beobachtungen, Feststellungen (bewertete Mängel und Abweichungen) und eine Einschätzung der IT-Sicherheit in der KRITIS-Anlage. Je nach Berufsstand und Unternehmen haben Berichte unterschiedliche Schwerpunkte.
Der Bericht wird dem BSI nur auf Nachfrage vom Betreiber zur Verfügung gestellt. Es gibt keine definierten Vorgaben an Form und Inhalt der Berichte, ein dokumentiertes Vorgehen in der Prüfung erleichtert die Nachvollziehbarkeit der Prüfung im Unternehmen und für Dritte:
- Prüfmethodik und Prüfstandard/Prüfgrundlage
- Methodik für Stichproben und Sampling
- Methodik zur Bewertung
- Auswahl von Anlagen, Standorten etc.
- Auswahl von Controls, Schwerpunkten und Nachweisen
- Beschreibung der KRITIS-Anlage, Schwellenwerte
- Dokumentation der Prüfhandlungen
- Dokumentation der Ergebnisse: Abweichungen, Mängel
- Dokumentation der Prüfungen, Termine, Erklärungen
- Einschätzungen, Bewertungen
- etc.
Prüfungsnachweis beim BSI
Nachweisdokumente
Die wichtigsten Unterlagen sind die Nachweisdokumente, in denen Prüfer die Ergebnisse der BSIG-Prüfung eintragen. Die BSI-Formulare sind in zwei Dokumenten mit Anhängen zusammengefasst, für die es teilweise Vorlagen vom BSI gibt. Die Dokumente werden in Zusammenarbeit von KRITIS-Prüfer und Betreiber erstellt und vom Betreiber ans BSI übermittelt.
Dokument | Inhalt | Vorlage | Verfasser | Einreichung |
---|---|---|---|---|
Nachweisdokument KI | Informationen KRITIS-Anlage | BSI | Betreiber | ◉ |
Nachweisdokument P | Ergebnis Prüfung | BSI | Prüfer | ◉ |
Anlage PD.A | Geltungsbereich + Netzstrukturplan | Betreiber | ◉ | |
Anlage PD.B | Prüfplan | BSI | Prüfer | ◉ |
Anlage PD.C | Prüfgrundlage | Prüfer | ◉ | |
Anlage PE.A | Mängelliste | BSI | Prüfer | ◉ |
Anlage PS.A | Nachweis Prüfkompetenz | Prüfer | ◉ | |
Prüfbericht | Dokumentation Prüfvorgehen | Prüfer | ⬚ | |
Nachweise | Evidenzen, Protokolle, Logs | Prüfer |
Die Nachweisdokumente und Anhänge sollen in Deutsch abgegeben werden; eigene Dokumente der Betreiber und der Prüfbereicht können auch Englisch sein.
Nachweisdokument KI
Dokumentation der Kritischen Infrastruktur gemäß § 8a Absatz 3 BSIG. Enthält Angaben zur geprüften Kritischen Infrastruktur und zur Ansprechperson (KI.1 bis KI.7), die der KRITIS-Betreiber selbst ausfüllt und zeichnet. Die weiteren Dokumente und Anhänge müssen hiermit zusammen eingereicht werden. (Vorlage vom BSI)
Hinweis: Der Anlagenname in Feld KI.3 muss korrekt angegeben werden (vgl. Erinnerungsschreiben des BSI zum fälligen Nachweis). Der Betreiber muss das Dokument stempeln und unterschreiben.
Nachweisdokument P
Angaben zur Prüfung, den Ergebnissen und dem Prüfteam. Dieses Formular enthält die wichtigsten Ergebnisse und wird von der prüfenden Stelle gezeichnet und gestempelt.
- Allgemeine Angaben zum Betreiber
- Abschnitt PD Durchführung der Prüfung: Angaben zur Art der Prüfung, Prüfgrundlage und Erläterungen, mögliche Zertifizierungen — mit separaten Anlagen PD.A, PD.B und PD.C
- Abschnitt PE Prüfergebnis und Sicherheitsmängel: Einschätzung des Reifegrads von ISMS, BCMS und Angriffserkennung (SzA) beim Betreiber (Skala 1-5), Auflistung der Sicherheitsmängel und abgestimmter Umsetzungsplan als Anlage PE.A (siehe unten)
- Abschnitt PS Prüfende Stelle: Angaben zur Eignung der prüfenden Stelle und Prüfteam, Unabhängigkeit und Nachweise dafür als separate Anlage PS.A und PS.B (siehe unten)
Hinweis: Der Anlagenname in Feld P.3 muss korrekt angegeben werden (vgl. Erinnerungsschreiben BSI).
Anlagen und Anhänge
Das Nachweisdokument P enthält folgende Anlagen:
- Anlage PD.A: Geltungsbereich und Netzstrukturplan
Beschreibung und grafische Darstellung des Geltungsbereichs der KRITIS-Anlage — das BSI hat hierzu Anforderungen in der Orientierungshilfe für Nachweise (G01-G13, N01-N10). Diese Anforderungen müssen in der Grafik oder der Beschreibung ersichtlich werden. - Anlage PD.B: Prüfplan (Vorlage vom BSI)
Informationen zum Ablauf der Prüfung mit Prüfthemen, Terminen, Standorten. Die Vorlage muss verwendet werden und vollständig ausgefüllt als Excel-Datei eingereicht werden. - Anlage PD.C: Prüfgrundlage
Beschreibung der Prüfgrundlage, welche Normen, B3S und Regelwerke verwendet und wie der Stand der Technik in der Prüfung berücksichtigt wurde. Aus der Prüfgrundlage sollte auch hervorgehen, dass die OH SzA berücksichtigt wurde. - Anlage PE.A: Mängelliste (Vorlage vom BSI)
Liste der in der Prüfung gefundenen Sicherheitsmängel mit Umsetzungsplan zur Behebung der Mängel — die in geringfügige und schwerwiegende/erhebliche Abweichungen eingeteilt werden. Die Vorlage muss verwendet und vollständig ausgefüllt als Excel-Datei eingereicht werden mit Angaben konkreter Daten zur Mängelbehebung und Status in Prozent. - Anlage PS.A: Nachweis Prüfverfahrenskompetenz
oder gleichwertige Kompetenznachweise für Prüfstelle und Prüfteam. - Selbsterklärung prüfende Stelle (optional) (Vorlage vom BSI)
Nur erforderlich, falls keine der Optionen im Nachweisdokument P (Abschnitt PS.3) zutreffen. - Nachweise auf Basis eines ISO/IEC 27001-Zertifikats (optional)
Wenn ein ISO-Zertifikat im Rahmen des KRITIS-Nachweises genutzt werden soll, müssen die vom BSI geforderten Rahmenbedingungen erfüllt werden. Es muss dokumentiert werden, wie diese in der Prüfung umgesetzt wurden, das gültige ISO-Zertifikat muss eingereicht werden.
Quelle und Texte aus den BSI-Formularen KI und P, Stand 2023, und aus den Hinweisen des BSI, Stand 2024.
Die BSI Orientierungshilfe für Nachweise (OH-N) enthält auch Hinweise und Muster für Nachweise.
Einreichung
Übermittlung ans BSI
Nach der Prüfung übermitteln Betreiber dem BSI als Ergebnis die Nachweisdokumente KI und P mit Anlagen (auf Deutsch). Die Dokumente sollen elektronisch ans BSI übermittelt werden über das Melde- und Informationsportal (MIP).
Es kann nach der Übermittlung der Prüfdokumentation zur Nachfragen des BSI an Prüfer und Betreiber zu formellen Themen, Feststellungen und Maßnahmen kommen. Ebenso kann das BSI im weiteren Verlauf einen Bericht der Umsetzung verlangen. Die Mängelliste und aktualisierte Umsetzungsständen muss alle 1-6 Monate ans BSI übermittelt werden.
Das BSI kann sich nach §8a Abs. 4 BSIG durch Tiefenprüfungen auch selbst ein Bild der Umsetzung von KRITIS-Anforderungen bei Betreibern machen. Diese kann das BSI selbst durchführen oder extern veranlassen.
Bestanden?
Es gibt als Ergebnis von KRITIS-Prüfungen kein Zertifikat durch die Prüfer oder das BSI. Es gibt kein formelles Bestehen der Prüfung und auch keinen Bescheid als zertifizierter KRITIS-Betreiber — die Prüfung dokumentiert lediglich den Ist-Stand im Prüfzeitraum.
Tipps zur Einreichung von Nachweisen
Im Abschluss der Prüfung kommt es häufig zu Nachfragen und Nachforderungen, die vermieden werden können. Das BSI nennt selbst verschiedene Punkte, damit die Einreichung von Nachweisen (2024) für beide Seiten reibungslos klappt:
- Die verbindlichen grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) nach §8a (5) müssen in der Prüfung berücksichtigt werden.
- Seit Mai 2023 müssen die Nachweise auch die Prüfung für den Einsatz von Systemen zur Angriffserkennung enthalten.
- Alle Nachweisunterlagen müssen pünktlich eingereicht werden. Auch wenn das Audit bereits abgeschlossen ist, benötigt die prüfende Stelle meist noch Zeit für die Zusammenstellung der Ergebnisse. Daher sollte ein Puffer zwischen Abschluss und Einreichtung geplant werden.
- Die Nachweisdokumente müssen vollständig sein: Formular KI und P, Anlagen PD.A, PD.B, PE.A, PS.A, PD.C und ggf. optionale Dokumente/Erklärungen
- Alle Nachweisdokumente selbst müssen deutschsprachig eingereicht werden; der Prüfbericht darf auch Englisch sein.
- Die Unabhängigkeit der Prüfer wird durch die prüfenden Stellen geprüft – hierzu muss kein Nachweis beim BSI eingereicht werden. Mitarbeiter oder Mitarbeiterinnen des Betreibers dürfen nicht zum Prüfteam gehören (Ausnahmen sind interne Revisionen).
- Die Einreichung der Nachweise soll nur über sichere Meldewege erfolgen: bevorzugt das Melde- und Informationsportal (MIP) des Bundes. Für die Einreichung ist ein eigenes Elster-Zertifikat nötig. Falls die Einreichung über das MIP nicht möglich ist, können die Nachweisdokumente auch per E-Mail an das KRITIS-Büro gesendet werden (S/MIME).
Nach der Prüfung
Nachbereitung
Behebung der Mängel
Die in der Prüfung festgestellten Mängel müssen vom Betreiber durch Verbesserungsmaßnahmen behoben werden, wie im Umsetzungsplan in der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt durch die verantwortlichen Fachbereiche und den Betrieb.
Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen per Umsetzungsplan überwachen. Die Maßnahmen selbst werden im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung verlangen.
Tiefenprüfung
Das BSI kann nach §8a Abs. 4 BSIG ebenfalls von sich aus überprüfen, ob Betreiber KRITIS-Anforderungen des BSIG einhalten. Diese Tiefenprüfung kann das BSI selbst beim Betreiber durchführen oder durch externe Prüfer veranlassen.
Programm
Ein Cybersecurity Programm bei Betreibern zur Behebung der Mängel und Verbesserung der IT-Sicherheit kann dabei helfen, Mängel nachhaltig zu beseitigen. Die Mängel der Prüfungen sollten nach dem Prüfzyklus organisiert behoben werden. Hierbei kann ein strukturiertes Programm helfen, indem es Mängel systematisch beseitigt und Risiken sowie Budget priorisiert.
Die Organisation der KRITIS-Prüfungen sollte von Betreibern strategisch angegangen werden — mit einem langfristigen Programm zur Planung der Nachweisprüfungen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.
Weitere Informationen
Literatur und Links
- Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12. Mai 2023
- Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
- FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik
- Erfolgreich Nachweise einreichen, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Ereignisse über das MIP melden, Bundesamt für Sicherheit in der Informationstechnik, o.D
- Anleitung zur Mängel-Dokumentation in der Mängelliste, Bundesamt für Sicherheit in der Informationstechnik, 19.02.2024
Formulare
- Dokumente zur Nachweiserbringung nach § 8a Absatz 3 BSIG, KRITIS-Nachweise kompakt, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Nachweisdokument KI, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 2. Mai 2023
- Nachweisdokument P, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 10.07.2023
- Muster Prüfplan PD.A, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 12. Mai 2023
- Muster Mängelliste PE.A (.XLS), Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 12. Mai 2023
- Muster Selbsterklärung, Vorlage, Bundesamt für Sicherheit in der Informationstechnik: 19.2.2020