ESecurity Cert

KRITIS Prüfungen nach § 8a BSIG

Durch das IT-Si­cher­heits­ge­setz wurde das BSI-Ge­setz (BSIG), wel­ches Re­ge­lun­gen in Be­zug auf das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) enthält, geändert. Dem­nach sind Be­trei­ber kri­ti­scher In­fra­struk­tu­ren (KRI­TIS) ver­pflich­tet, sich min­des­tens alle zwei Jahre nach § 8a Abs. 3 BSIG prüfen zu las­sen. Hier­durch ist nach­zu­wei­sen, dass an­ge­mes­sene or­ga­ni­sa­to­ri­sche und tech­ni­sche Maßnah­men zur Ab­si­che­rung der kri­ti­schen In­fra­struk­tur ge­trof­fen und um­ge­setzt wur­den.

Zweck des IT-Si­cher­heits­ge­set­zes ist u. a. der Schutz Kri­ti­scher In­fra­struk­tu­ren, die für das Funk­tio­nie­ren des Ge­mein­we­sens von zen­tra­ler Be­deu­tung sind. Der er­ste Teil der BSI-Kri­tis­ver­ord­nung (BSI-Kri­tisV Korb I) trat mit der Um­set­zung des IT-Si­cher­heits­ge­set­zes im Mai 2016 in Kraft und be­trifft Or­ga­ni­sa­tio­nen in den Sek­to­ren En­er­gie, Was­ser, In­for­ma­ti­ons­tech­nik und Te­le­kom­mu­ni­ka­tion so­wie Ernährung. Die ergänzende Ände­rungs­ver­ord­nung BSI-Kri­tisV (Korb II) liegt seit dem 30. Juni 2017 vor. Sie be­zieht sich auf die Sek­to­ren Ge­sund­heit, Fi­nanz- und Ver­si­che­rungs­we­sen so­wie Trans­port und Ver­kehr.

Die RSM Cer­ti­fi­ca­tion GmbH ist be­rech­tigt, so­wie mit der ent­spre­chen­den Prüfungs­kom­pe­tenz und Er­fah­rung aus­ge­stat­tet, Prüfun­gen nach § 8a Abs. 3 BSIG durch­zuführen. 

Grundlagen der Prüfung

Die Be­trei­ber kri­ti­scher In­fra­struk­tur ha­ben fol­gende Pflich­ten zu erfüllen: 

Einrichtung Meldewege

  • Be­nen­nung ei­ner je­der­zeit er­reich­ba­ren Kon­takt­stelle
  • Mel­dung er­heb­li­cher Störun­gen an das BSI 

Informationssicherheitsmanagementsystem (ISMS) 

  • Um­set­zung von IT-Si­cher­heitsmaßnah­men nach dem Stand der Tech­nik
  • Hier­bei sind an­er­kannte Nor­men an­zu­wen­den z. B.
    • DIN EN ISO/IEC 27001:2017-06
    • Vom BSI an­er­kannte Bran­chen­stan­dards ("B3S"), die al­ler­dings meist wie­der auf an­dere Nor­men, wie. z. B. die ISO/IEC 27001, ver­wei­sen 

Notfall-/ Business Continuity-Management (BCM) 

  • Um­set­zung von we­sent­li­chen Kom­po­nen­ten ei­nes BCM (Busi­ness Con­ti­nuity Ma­nage­ment)
  • Hier­bei können eben­falls an­er­kannte Nor­men, wie z. B. ISO/IEC 22301, her­an­ge­zo­gen wer­den; auch die B3S ent­hal­ten hierzu Ausführun­gen 

Nachweispflicht 

  • nach § 8a Abs. 3 BSIG ha­ben die KRI­TIS-Be­trei­ber alle zwei Jahre die Um­set­zung der vor­ge­nann­ten An­for­de­run­gen nach­zu­wei­sen
  • der Nach­weis kann durch Si­cher­heits­au­dits, Prüfun­gen oder Zer­ti­fi­zie­run­gen er­fol­gen 

Die RSM Cer­ti­fi­ca­tion GmbH führt durch er­fah­rene und beim BSI ge­lis­tete Prüfer Prüfun­gen nach § 8a Abs. 3 BSIG durch. Bei der Prüfung wird die Ein­hal­tung der oben be­schrie­ben Pflich­ten des KRI­TIS-Be­trei­bers geprüft und nach­voll­zo­gen. Das Prüfungs­vor­ge­hen wird im Fol­gen­den dar­ge­stellt. 

PRÜFUNGSVORGEHEN

Durchführung einer Vorprüfung 

  • Op­tio­na­ler Be­stand­teil 
  • Be­ur­tei­lung, ob eine grundsätz­li­che Prüfungsfähig­keit vor­liegt 

Zertifizierung 

Dokumentenprüfung

  • Prüfung der Do­ku­men­ta­tion des ISMS, der BCM Kom­po­nen­ten und der Mel­de­wege für kri­ti­sche In­fra­struk­tur 
  • Be­ur­tei­lung der grundsätz­li­chen An­for­de­rungs­erfüllung 
  • Be­ur­tei­lung, ob eine Funk­ti­onsfähig­keitsprüfung des ISMS zielführend durch­geführt wer­den kann

Funktionsfähigkeitsprüfung des ISMS

  • Prüfung der tatsäch­li­chen Um­set­zung und Be­ur­tei­lung der Wirk­sam­keit und Ein­hal­tung der ge­for­der­ten Maßnah­men 
  • Prüfung er­folgt vor Ort an den vor­ge­se­he­nen Stand­or­ten 
  • Er­stel­lung ei­nes Au­dit­be­rich­tes 
  • Überg­abe der Be­richt­er­stat­tung an den Be­trei­ber/Kun­den

§ 8A AUDITOR 

Die RSM Cer­ti­fi­ca­tion GmbH verfügt über er­fah­rene und beim BSI ge­lis­tete Au­di­to­ren, die be­rech­tigt sind, KRI­TIS Prüfun­gen nach § 8a Abs. 3 BSIG durch­zuführen.