Icon Welt mit Netzwerkverbindung

KRITIS Prüfungen nach § 8a Abs. 3 BSIG


Was sind die KRITIS Prüfungen nach § 8a Abs. 3 BSIG

Betreiber sog. „Kritischer Infrastrukturen“ (KRITIS-Betreiber) müssen ihre Vorkehrungen nach dem aktuellen Stand der Technik zur Vermeidung von Störungen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen. Kritische Dienstleistungen im Sinne der BSI-Kritisverordnung (nachfolgend kurz „BSI-KritisV“) sind solche, die zur Versorgung der Allgemeinheit, beispielsweise in den Sektoren Informationstechnik und Telekommunikation, Energie und Ernährung, erbracht werden und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde.

Nach dem BSI-Gesetz (nachfolgend kurz „BSIG“) müssen regulierte Betreiber dem BSI alle zwei Jahre ihre Nachweise gemäß § 8a Absatz 3 BSIG einreichen. Nachweise, die dem BSI ab dem 01. Mai 2023 vorgelegt werden, müssen zudem Aussagen zur Umsetzung des § 8a Abs. 1a BSIG, also zum Einsatz von Systemen zur Angriffserkennung (nachfolgend kurz „SzA“), enthalten. Seit dem 01. Januar 2024 sind zudem sämtliche Anforderungen für die Prüfungsdurchführung aus dem Schreiben „Anforderungen nach § 8a Absatz 5 BSIG – Grundsätzliche Anforderungen im Nachweisverfahren (GAiN) (V2.0 vom 15. August 2024)“ des BSIs zu berücksichtigen.“

Als eine bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) akkreditierte Zer- tifizierungsstelle, sind wir gemäß „Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG“ (V1.3 vom 15. August 2024) befähigt, diese sog. KRITIS-Nachweisprüfungen durchzuführen.


Vorteile einer KRITIS-Nachweisprüfung durch die RSM Certification GmbH

Compliance – Erfüllung gesetzlicher sowie regulatorischer Anforderungen

National anerkannt aufgrund der Akkreditierung der RSM Certification GmbH

Möglichkeit einer kombinierten Auditierung, bspw. ISO/IEC 27001-Zertifizierung und § 8a KRITIS-Nachweisprüfung

Wirksamkeitsnachweis der von Ihnen implementierten Sicherheitsmaßnahmendurch ein unabhängiges Audit


Ablauf einer KRITIS-Nachweisprüfung

Unsere Konzeption zur Prüfung erfolgt über ein Phasenkonzept:

  • Prüfung der Eignung des Geltungsbereichs (ca. 8 - 12 Wochen im Vorfeld der Vor-Ort-Prüfung) und Festlegung der Prüfgrundlage
  • Erstellung des Prüfplans (ca. 8 - 12 Wochen im Vorfeld der Vor-Ort-Prüfung)
  • Dokumentenprüfung (ca.3 - 6 Wochen im Vorfeld der Vor-Ort-Prüfung)
    • Prüfung der Dokumentation des ISMS
    • Beurteilung der grundsätzlichen Anforderungserfüllung
    • Beurteilung, ob eine Funktionsfähigkeitsprüfung des ISMS zielführend durchgeführt werden kann
  • Funktionsfähigkeitsprüfung (Vor-Ort-Prüfung)
    • Prüfung des ISMS hinsichtlich der Umsetzung der Anforderungen aus den Prüfkriterien, insbesondere hinsichtlich organisatorischer, technischer, personeller, infrastruktureller und branchenspezifischer Aspekte
    • Beurteilung der Fähigkeit des Managementsystems, die Erfüllung der geltenden gesetzlichen, behördlichen und vertraglichen Anforderungen sicherzustellen
    • Feststellung der Konformität des Managementsystems mit den Prüfkriterien
    • Überprüfung der Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen
    • Prüfung der Umsetzung des KRITIS-Meldeprozesses
    • Prüfung des Umgangs mit Meldungen von Seiten des BSIs und der Behandlung von Sicherheitsvor- fällen
    • Prüfung der textuellen und grafischen Dokumentation des KRITIS-Geltungsbereichs anhand der Kriterien des BSI
  • Nachbereitung der Vor-Ort-Prüfung
  • Dokumentation

Ihr Weg zu einer KRITIS-Nachweisprüfung

Anfrage

Anfrage stellen und optional kurzfristig einen Kennenlern-Termin per Videosession vereinbaren

Angebotserstellung

Ausfüllen unserer Basisdaten als Grundlage für ein erstes Verständnis Ihres Unternehmens sowie zur Angebotserstellung

Auftragserteilung

Auftragserteilung an RSM Certification GmbH und gemeinsame Abstimmung der weiteren Schritte (u. a. Terminplanung)

Stage 1-Audit

Nur bei einer Erstzertifizierung: Um ein besseres Verständnis Ihrer Organisation und Ihres ISMS zu erhalten führen wir dies in der Regel in einem gemeinsamen Remote-Termin durch. Ziel: Feststellung der Zertifizierungsreife

Stage-2 Audit / Rezertifizierung

Durchführung des Stage 2-Audits / Rezertifizierungsaudits, der Wirksamkeitsprüfung Ihres ISMS

Fachliche Prüfung

Fachliche Prüfung der Unterlagen des Auditors / der Auditoren und Treffen der Zertifizierungsentscheidung durch die RSM Certification GmbH

Ausstellung des Zertifikates

Ausstellung des Zertifikates

Übergabe

Übergabe des Auditberichtes, des Zertifikates sowie des Zertifizierungssiegels

Überprüfung

Überprüfung der kontinuierlichen Weiterentwickelung des ISMS im Rahmen der Überwachungsaudits


Zertifizierung durch die RSM Certification GmbH

Sie möchten sich durch uns zertifizieren lassen? Nehmen Sie gern unverbindlich Kontakt zu uns auf.

info@rsm-certification.com
+49 211 540148 00


Unverbindlich Kontakt aufnehmen

Bitte addieren Sie 6 und 1.

FAQ – Die wichtigsten Fragen beantwortet

Wie hoch sind die Kosten einer KRITIS-Nachweisprüfung?

Die Kosten hängen von den verschiedensten Faktoren ab und setzen sich insbesondere aus den folgenden Komponenten zusammen:

  • Prüfung auf Eignung des Geltungsbereichs
  • Festlegung der Prüfgrundlage
  • Erstellung des Prüfplans
  • Dokumentenprüfung (Angemessenheitsprüfung Ihres ISMS)
  • Site-Visit (Wirksamkeitsprüfung Ihres ISMS)
  • Dokumentation der Ergebnisse

Weitere Faktoren, welche die Kosten beeinflussen, sind beispielweise auch die Größe und Komplexität einer Organisation, u. a. in Verbindung mit der Anzahl der rechtlichen Einheiten und der kritischen Anlagen, Anzahl der Standorte und damit auch der Grad eines jeweils zentralisierten oder dezentralisierten ISMS.

Weitere Komponenten stellen die gesetzlichen und regulatorischen Anforderungen dar, welche in den letzten Jahren sukzessive gestiegen sind. Beispielsweise sind seit dem 01.05.2023 die Systeme zur Angriffserkennung (SzA) gemäß der „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ zu prüfen. Darüber hinaus wurden vom BSI die sog. GAiN („Anforderungen nach § 8a Abs. 5 BSIG – Grundsätzliche Anforderungen im Nachweisverfahren“) festgelegt.

Kann die Prüfgrundlage frei gewählt werden?

Eine Vielzahl an Prüfgrundlagen ist möglich, sofern diese geeignet sind, die Erfüllung von § 8a Abs. 1 BSIG nachzuweisen.

Der KRITIS-Betreiber wählt in Abstimmung mit der prüfenden Stelle die Prüfgrundlage. Die Beschreibung der Prüfgrundlage ist eine Erläuterung, wie/woraus sich die Prüfgrundlage zusammensetzt. Dazu gehören:

  • eine Erklärung, welche branchenspezifische Sicherheitsstandards (B3S) bzw. Regelwerke werden als Grundlage verwendet werden,
  • eine Erläuterung wie die branchenspezifischen Themen abgedeckt werden und
  • eine Ausführung, die deutlich werden lässt, dass die Prüfgrundlage den Stand der Technik für die zu prüfende Kritische Infrastruktur sinnvoll und vollständig abdeckt.

Eine Prüfung kann dabei unter Verwendung eines branchenspezifischen Sicherheitsstandards (B3S) oder ohne Verwendung eines B3S erfolgen. Es sei aber bereits gesagt, dass es nicht für alle Sektoren/Bereiche einen entsprechenden B3S gibt. Die Beschreibung der Prüfgrundlage muss nach den Vorgaben des BSI erfolgen, d. h. als Anlage PD.C, die Teil des Nachweisdokuments P ist.

Wann muss ich feststellen, dass ich eine kritische Infrastruktur bin?

Betreiber Kritischer Infrastrukturen (KRITIS) müssen gemäß der BSI-Kritisverordnung jährlich prüfen, ob ihre Anlagen nachweispflichtig sind. Bis zum 31. März sollte geprüft werden, ob Anlagen im vergangenen Kalenderjahr die Schwellenwerte gemäß BSI-Kritisverordnung überschritten haben. Bei einer Überschreitung gilt die Anlage ab dem 01. April als kritische Dienstleistung. Die Anlage ist somit nachweispflichtig und sollte umgehend beim BSI registriert werden.

Die Registrierung als kritische Infrastruktur beim BSI erfolgt über das Melde- und Informationsportal (MIP) des BSI. Der KRITIS-Betreiber muss eine Kontaktstelle hinterlegen, welche gemäß § 8b Abs. 3 BSIG 24/7 erreichbar sein muss.

Ich bin Betreiber einer kritischen Infrastruktur, bis wann muss ich erstmalig die Umsetzung der Anforderungen gemäß § 8a Abs. 1 BSIG nachweisen?

Betreiber einer Kritischen Infrastruktur im Sinne von § 2 Abs. 10 BSIG haben alle zwei Jahre einen Nachweis über ihre Kritischen Anlagen zu erbringen. Ab Zeitpunkt der Registrierung haben Sie somit in der Regel maximal zwei Jahre Zeit die Anforderungen umzusetzen, sofern Ihnen das BSI keine andere Frist mitteilt.

Ich habe festgestellt, dass ich die Schwellenwerte unterschreite. Muss ich dann weiterhin den Nachweis erbringen?

Hierzu lässt sich keine allgemeine Aussage treffen. Wir empfehlen, dies direkt mit dem BSI abzustimmen.

Welche Dokumente werden durch uns, welche durch Sie bereitgestellt?

Das BSI stellt für KRITIS-Prüfungen Vorlagen zur Verfügung, welche auch von uns im Rahmen der Prüfung genutzt werden.

Von Ihnen ist das Nachweisdokument KI sowie eine Beschreibung und grafische Darstellung des Geltungsbereichs in einem Netz-/Anlagenplan (Anlage PD.A) auszufüllen bzw. zu erstellen und abzugeben.

Von uns erhalten Sie die folgenden Dokumente:

  • Nachweisdokument P
  • Anlage PD.B: Dokumentation des Prüfablaufs
  • Anlage PD.C: Beschreibung der Prüfgrundlage
  • Anlage PE.A: Liste der Sicherheitsmängel inklusive Umsetzungsplan zur Behebung der Mängel
  • Anlage PS.A: Nachweis über die zusätzliche Prüfverfahrenskompetenz für § 8a BSIG für: a) einen Mitarbeiter der Prüfstelle b) mindestens ein Mitglied des Prüfteams
  • Optional: Selbsterklärung zur Eignung der prüfenden Stelle
Besteht die Möglichkeit eines kombinierten Audits aus § 8a KRITIS sowie ISO/IEC 27001 bzw. ISO 27001 auf Basis von IT-Grundschutz?

Ja, Sie können ein solches kombiniertes Audit vornehmen. Wichtig ist in diesem Zusammenhang der Geltungsbereich. Dies bedeutet, dass der KRITIS-Geltungsbereich idealerweise mindestens den Geltungsbereich Ihrer ISO/IEC 27001-Zertifizierung vollumfänglich umfasst, so dass die möglichen Synergien genutzt werden können. Gleichzeitig muss der Geltungsbereich die betriebenen Anlagen nach BSI-Kritisverordnung umfassen. Darüber hinaus sind KRITIS-Prüfungen umfassender, da zusätzliche Anforderungen gestellt werden (bspw. SzA-Prüfung seit dem 01. März 2023) bzw. auch zusätzliche Prüfaspekte für die kritische Dienstleistung berücksichtigt werden müssen.

Wie setzt sich das Prüfteam zusammen?

Um KRITIS-Prüfungen vornehmen zu können, muss das Prüfteam über Kompetenzen in den folgenden Bereichen verfügen:

  • Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG
  • Auditkompetenz
  • IT-Sicherheitskompetenz bzw. Informationssicherheitskompetenz
  • Branchenkompetenz

Ein Auditor muss nicht allein über alle Kompetenzen verfügen, die geeignete Zusammenstellung eines Prüfteams mit der Abdeckung aller Kompetenzbereiche ist ausreichend.

Gibt es Vorgaben zum Aufbau der Dokumente und des Geltungsbereiches sowie des Netzstrukturplans?

Das BSI hat dazu ein Dokument veröffentlicht, das sog. „Anforderungen nach § 8a Ab. 5 BSIG – Grundsätzliche Anforderungen im Nachweisverfahren (GAiN)“. In diesem sind die Vorgaben für die Dokumentation des Geltungsbereiches nachzulesen.

Kann ein gültiges ISO/IEC 27001-Zertifikat oder ISO 27001 auf Basis von IT-Grundschutz-Zertifikat als Bestandteil eines Nachweises gemäß § 8a Abs. 3 BSIG verwendet werden?

Ja, Sie können Ihr bestehendes Zertifikat verwenden, sofern vom BSI festgelegte Rahmenbedingungen eingehalten wurden.

Ein wesentlicher Part betrifft den Geltungsbereich, da der relevante Geltungsbereich Ihrer Zertifizierung nicht automatisch dem Geltungsbereich von KRITIS entsprechen muss.

Insgesamt hat das BSI sechs Prüfaspekte festgelegt, welche von der prüfenden Stelle auf deren Einhaltung der KRITIS-Vorgaben geprüft und entsprechend dokumentiert werden. Die Dokumentation muss mit dem ISO/IEC 27001-Zertifikat eingereicht werden. Die relevanten Prüfaspekte sind:

  • Abgrenzung Geltungsbereich: Der Geltungsbereich des Zertifikats muss die unter KRITIS fallenden Anlagen umfassen.
  • Erweiterter Geltungsbereich: Der Geltungsbereich muss auf ausgelagerte Bereiche erweitert und eine umfassende Sicherheitsbetrachtung aus KRITIS-Sicht durchgeführt werden.
  • Berücksichtigung der KRITIS-Schutzziele: Die Aufrechterhaltung der Versorgungssicherheit der Bevölkerung ist das höchste Anliegen bei der Informationssicherheitsrisikobehandlung. Die hiervon abgeleiteten KRITIS-Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität müssen aufgenommen werden.
  • KRITIS IT-Schutzbedarf: Die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität müssen in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung bewertet werden. Im Fokus steht dabei das Ausmaß eines Risikos auf die Allgemeinheit und nicht nur auf die eigene Organisation.
  • Umgang mit Risiken: Auch hier sind Risiken mit einem erweiterten Fokus auf das Ausmaß eines Risikos für die Allgemeinheit zu bewerten.
  • Maßnahmenumsetzung: Alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen müssen im Rahmen der Risikobehandlung umgesetzt sein, da sie sonst als Sicherheitsmangel zählen und dokumentiert werden müssen. Eine Umsetzungsplanung ist für diese Maßnahmen nicht ausreichend.

Die Anwendung eines existierenden ISO/IEC 27001-Zertifikats bzw. ISO 27001 auf Basis von IT-Grundschutz-Zertifikats und die Einhaltung der Anforderungen der weiteren Prüfaspekte sind in der Anlage PD.2 zu dokumentieren.