KRITIS Prüfungen nach §8 A BSIG

Durch das IT-Sicherheitsgesetz wurde das BSI-Gesetz (BSIG), welches Regelungen in Bezug auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) enthält, geändert. Demnach sind Betreiber kritischer Infrastrukturen (KRITIS) verpflichtet, sich mindestens alle zwei Jahre nach §8a Abs. 3 BSIG prüfen zu lassen. Hierdurch ist nachzuweisen, dass angemessene organisatorische und technische Maßnahmen zur Absicherung der kritischen Infrastruktur getroffen und umgesetzt wurden.

 

Zweck des IT-Sicherheitsgesetzes ist u. a. der Schutz Kritischer Infrastrukturen, die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind. Der erste Teil der BSI-Kritisverordnung (BSI-KritisV Korb I) trat mit der Umsetzung des IT-Sicherheitsgesetzes im Mai 2016 in Kraft und betrifft Organisationen in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung. Die ergänzende Änderungsverordnung BSI-KritisV (Korb II) liegt seit dem 30. Juni 2017 vor. Sie bezieht sich auf die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr.

 

Die ESecurity-CERT GmbH ist berechtigt, sowie mit der entsprechenden Prüfungskompetenz und Erfahrung ausgestattet, Prüfungen nach §8a Abs. 3 BSIG durchzuführen.


Grundlage der Prüfung

Die Betreiber kritischer Infrastruktur haben folgende Pflichten zu erfüllen:

  • Einrichtung Meldewege
    • Benennung einer jederzeit erreichbaren Kontaktstelle
    • Meldung erheblicher Störungen an das BSI
  • Informationssicherheitsmanagementsystem (ISMS)
    • Umsetzung von IT-Sicherheitsmaßnahmen nach dem Stand der Technik
    • Hierbei sind anerkannte Normen anzuwenden z. B.
      • DIN EN ISO/IEC 27001:2017-06
      • vom BSI anerkannte Branchenstandards ("B3S"), die allerdings meist wieder auf andere Normen, wie. z. B. die ISO/IEC 27001, verweisen
  • Notfall-/ Business Continuity-Management (BCM)
    • Umsetzung von wesentlichen Komponenten eines BCM (Business Continuity Management)
    • Hierbei können ebenfalls anerkannte Normen, wie z. B. ISO/IEC 22301, herangezogen werden; auch die B3S enthalten hierzu Ausführungen
  • Nachweispflicht
    • nach § 8a Abs. 3 BSIG haben die KRITIS-Betreiber alle zwei Jahre die Umsetzung der vorgenannten Anforderungen nachzuweisen
    • der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen

Die ESecurity-CERT GmbH führt durch erfahrene und beim BSI gelistete Prüfer Prüfungen nach § 8a Abs. 3 BSIG durch. Bei der Prüfung wird die Einhaltung der oben beschrieben Pflichten des KRITIS Betreibers geprüft und nachvollzogen. Das Prüfungsvorgehen wird im Folgenden dargestellt.


Prüfungsvorgehen

  1. Durchführung einer Vorprüfung
    • Optionaler Bestandteil
    • Beurteilung, ob eine grundsätzliche Prüfungsbereitschaft vorliegt
  2. Zertifizierung
    • Aufbauprüfung
      • Prüfung der Dokumentation des ISMS, der BCM Komponenten und der Meldewege für kritische Infrastruktur
      • Beurteilung der grundsätzlichen Anforderungserfüllung
      • Beurteilung, ob eine Funktionsprüfung zielführend durchgeführt werden kann
    • Funktionsprüfung
      • Prüfung der tatsächlichen Umsetzung und Beurteilung der Wirksamkeit und Einhaltung der geforderten Maßnahmen
      • Prüfung erfolgt vor Ort an den vorgesehenen Standorten
      • Erstellung eines Auditberichtes
    • Übergabe der Berichterstattung an das BSI

§8a Auditor

Die ESecurity-CERT GmbH verfügt über erfahrene und beim BSI gelistete Auditoren, die berechtigt sind, KRITIS Prüfungen nach § 8a Abs. 3 BSIG durchzuführen.