Kritische Infrastrukturen (KRITIS) sind auf eine funktionierende IT angewiesen. Zum Schutz kritischer Infrastrukturen wurde deshalb von staatlicher Seite das BSI-Gesetz (BSIG) geändert. Demnach sind Betreiber kritischer Infrastrukturen dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen und diese mindestens alle zwei Jahre nachzuweisen (§8a BSIG Nachweis).
Wir informieren Sie in unserem zweiteiligen Beitrag über die Anforderungen an die KRITIS-Betreiber und die verschiedenen Möglichkeiten zum Nachweis der Umsetzung dieser Anforderungen. Diesmal erfahren Sie, wie eine §8a BSIG-Prüfung ablaufen kann und was Sie über die Prüfungsnachweise wissen müssen.
Wie gehen wir bei einer §8a BSIG-Prüfung vor?
Die Prüfer und Branchenexperten des Prüfteams, die von der prüfenden Stelle (z.B. datenschutz cert GmbH) beauftragt wurden, führen die Prüfung durch.
Als Prüfgrundlage wird die mit dem KRITIS-Betreiber abgestimmte Prüfgrundlage gewählt. Prüfgrundlage kann ein sogenannter Branchenspezifischer Sicherheitsstandard (B3S) sein – muss aber nicht. Auch ISO/IEC 27001 kann für eine §8a-Prüfung genutzt werden. Darüber hinaus gibt es Bereiche, für die eigene gesetzliche Vorgaben gelten: So müssen z.B. Netzbetreiber (Strom/Gas) die Vorgaben des von der Bundesnetzagentur veröffentlichten IT-Sicherheitskatalogs erfüllen.
Was empfiehlt die datenschutz cert? Ganz klar: die Kombination aus §8a-Prüfung und ISO/IEC 27001-Zertifizierung. Denn ein ISO/IEC 27001-konformes ISMS gibt Ihnen die „Werkzeuge“ samt Methodik in die Hand, um die sektorspezifischen Besonderheiten angemessen zu berücksichtigen. Sofern Sie als KRITIS-Betreiber ein ISO/IEC 27001-Zertifikat nicht benötigen, kann auch nur eine reine Auditierung gem. ISO/IEC 27001 erfolgen.
Nachdem die Prüfgrundlage festgelegt wurde findet bei Ihnen vor Ort das Audit statt. Folgende zentrale Prüfpunkte werden dabei berücksichtigt:
- Scope: Zunächst ist der Geltungsbereich auf Vollständigkeit, Eignung, Erforderlichkeit, Wirksamkeit und Angemessenheit, sowie Funktionsfähigkeit der kritischen Dienstleistung zu prüfen und zu bewerten.
- Strukturierter Ansatz: Der strukturierte Ansatz aus Schutzbedarfsfeststellung, Risikomaßnahme und Ableitung von Maßnahmen ist zu prüfen und zu bewerten.
- Umsetzung der Maßnahmen: Anschließend ist zu prüfen und zu bewerten, dass die Anforderungen angemessen umgesetzt sind.
Im Ergebnis gibt es vier mögliche Feststellungen:
- keine Abweichung
- Empfehlung
- geringfügige Abweichung bzw. Sicherheitsmangel
- schwerwiegende oder erhebliche Abweichung bzw. Sicherheitsmangel.
Abschließend wird Ihnen von uns ein Bericht über die Ergebnisse der Prüfung, eine Auflistung der von uns festgestellten Sicherheitsmängel sowie die vom BSI geforderten Formulare zur Verfügung gestellt. Diese Dokumente zusammen dienen als Nachweis gemäß §8a BSIG und sollten von Ihnen an das BSI übermittelt werden.
Was genau beinhaltet der Prüfungsnachweis gemäß §8a BSIG?
Die Ergebnisse der §8a-Prüfung wird innerhalb eines Prüfberichts dokumentiert. Zusätzlich erhalten Sie von uns eine Auflistung der festgestellten Sicherheitsmängel. Des Weiteren fordert das BSI zusätzlich noch das Ausfüllen diverser Formulare (PS, PD, PE, KI).
Von der datenschutz cert GmbH erhält der KRITIS-Betreiber folgende die vom BSI geforderten Nachweisdokumente:
- Blatt PS: Angaben zur Eignung der prüfenden Stelle und zum Prüfteam
- Blatt PD: Angaben zur Prüfdurchführung
- Blatt PE: Angaben zum Prüfergebnis
Das vierte Nachweisdokument zu § 8a (3) BSIG, „Blatt KI: Angaben zur geprüften Kritischen Infrastruktur und zum Ansprechpartner“, muss vom KRITIS-Betreiber selbst ausgefüllt werden.
Darüber hinaus erhalten Sie von der datenschutz cert GmbH auf Wunsch auch eine Prüfbestätigung.
Wie lange ist der §8a BSIG Nachweis gültig bzw. wann muss er wiederholt werden?
Das BSI-Gesetz normiert, dass ein KRITIS-Betreiber alle zwei Jahre den Nachweis beim BSI einreichen muss. Die Nachweisdokumente haben damit eine Laufzeit von zwei Jahren.
Wenn die §8a-Prüfung zusammen mit einem ISO/IEC 27001-Zertifizierungsverfahren kombiniert wurde, gelten selbstverständlich primär die ISO/IEC 27001-typischen Zyklen (drei-jährige Laufzeit des Zertifikates mit Überwachungsaudits im ersten und zweiten Jahr). Die zwei-jährig stattfindenden §8a-Prüfungen können hiermit verbunden werden, wobei dann beim 2. Überwachungsaudit eine Überwachung gemäß ISO/IEC 27001 zusammen mit der vollständigen §8a-Prüfung durchgeführt wird.
Warum sollten Sie für diese Aufgabe die datenschutz cert GmbH auswählen?
Zur Durchführung der Prüfungen sind entsprechende „prüfende Stellen“ und „Prüfer“ eines Prüfteams vorgesehen. Die datenschutz cert GmbH erfüllt als DAkkS-akkreditierte Zertifizierungsstelle, BSI-anerkannte Prüfstelle sowie IT-Sicherheitsdienstleister des BSI die Anforderungen einer prüfenden Stelle und verfügt über Prüfer, die die entsprechende Prüfverfahrenskompetenz für § 8a (3) BSIG mitbringen. Damit können wir Ihre kritische Dienstleistung gem. §8a prüfen.
Weitere Informationen zum Thema finden Sie auch auf unserer Themenseite §8a BSIG-Prüfung für KRITIS-Betreiber und im Blog „datenschutz notizen“ unter https://www.datenschutz-notizen.de/tag/kritis/.
Autor: Dr. Sönke Maseberg