Prüfung kritischer Infrastrukturen

Wir können eine KRITIS-Prüfung bei Ihnen durchführen und verhelfen Ihnen somit zur Nachweiserbringung.

Betreiber kritischer Infrastrukturen sind nach dem BSI-Gesetz dazu verpflichtet angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind (§ 8a Abs. 1 BSIG) und diese Vorkehrungen „mindestens alle zwei Jahre […] nachzuweisen“ (§ 8a Abs. 3 BSIG).

Prüfgrundlage

Mittels der Durchführung einer GAP-Analyse wird der Status Quo der Informationssicherheit erfasst, um mögliche Abweichungen und Lücken zum Soll-Zustand rechtzeitig zu erkennen und angemessen behandeln zu können.

Der Umfang und die Tiefe der GAP-Analyse richtet sich nach der konkreten Aufgabenstellung und den Anforderungen.

1. Prüfung auf Grundlage eines geeigneten branchenspezifischen Sicherheitsstandards (B3S)

2. Prüfung ohne Verwendung eines branchenspezifischen Sicherheitsstandards (B3S)

Beispiele:

  • Die Orientierungshilfe zu branchenspezifischen Sicherheitsstandards (B3S) nach § 8a Absatz 2 BSIG
  • Der Katalog zur Konkretisierung der Anforderungen des § 8a Absatz 1 BSIG
  • Andere B3S gemäß § 8a Absatz 2 BSIG, deren Eignung vom BSI festgestellt wurde (Der Geltungsbereich des B3S ist ggf. an den zu prüfenden Geltungsbereich anzupassen.)
  • Einschlägige Standards (z. B. Zertifizierungsschemata für ISO 27001 (nativ oder auf Basis von IT-Grundschutz), ISO/IEC 17021-1 oder ISO/IEC 27006)

3. Berücksichtigung vorhandener Prüfungen oder anderer Prüfgrundlagen

Nachweise / Dokumentation

Die Prüfung nach § 8a wird dokumentiert und umfasst mehrere Dokumente welche zur Nachweiserbringung gegenüber dem BSI verwendet werden:

Nachweisdokument zur Kritischen Infrastruktur: Formular KI

  • Angaben zum Betreiber und zur Anlage der geprüften Kritischen Infrastruktur sowie Festlegung eines Ansprechpartners.
  • Das Dokument wird vom KRITIS-Betreiber ausgefüllt und beim BSI eingereicht.

Nachweisdokument zur Prüfung: Formular P

Beinhaltet Angaben

  • zum Geltungsbereich, den Prüfthemen sowie zu Art, Umfang und Dauer der Prüfung,
  • zum Prüfergebnis und zu den aufgedeckten Sicherheitsmängeln,
  • zur Eignung der prüfenden Stelle und zum Prüfteam.

Selbsterklärungen

  • Selbsterklärung zum Nachweis der zusätzlichen Prüfverfahrenskompetenz einer Person gemäß § 8a BSIG
  • Selbsterklärung der prüfenden Stelle zum Vorliegen der Eignungsvoraussetzungen für die Prüfung und zur Einhaltung der ethischen Grundsätze

Prüfbericht

Mängelliste

Rollen im Nachweisprozess