FAQ

Hier haben wir einige typische Fragen zusammengestellt.

Allgemeine Fragen

Mit welchen Kosten muss ich rechnen?

Die Kosten hängen immer davon ab, wie umfassend der zu prüfende Gegenstand ist, z.B. ob es viele Standorte gibt, die zu besichtigen sind. Oftmals geben auch Normen vor, wie ein Auditumfang zu kalkulieren ist, z.B. anhand des Beschäftigtenumfangs für die ISO/IEC 27001.

In unseren Dienstleistungsbereichen finden sich Formulare für eine Beantragung. Diese nutzen wir, wenn es um akkreditierte Leistungen geht, wie z.B. ISO/IEC 27001 Audits und Zertifizierungen. Sie füllen diese nach bestem Wissen und Gewissen aus und reichen sie bei uns ein. Wir kalkulieren dann ein Angebot und nehmen Kontakt zu Ihnen auf. Ein solcher offizieller Antrag leitet nur die ersten Schritte bis zum Angebot ein, es werden hierfür natürlich keine Kosten in Rechnung gestellt.

Sie möchten ein Angebot für ein einfaches Audit zum Datenschutz oder zur Informationssicherheit? Dann schreiben Sie uns und beschreiben Sie bitte möglichst genau, was und wo wie prüfen dürfen.

Was ist der Unterschied zwischen Beratung und Audit?

Wir werden oft gefragt, ob wir Unternehmen auch beraten können. Aufgrund unserer Akkreditierung bei verschiedenen Stellen, wie dem BSI, der DAkkS oder der Bundesnetzagentur ist uns dies leider nicht möglich. Als sogenannte „Konformitätsbewertungsstelle“ müssen wir unabhängig und unparteiisch sein. Mehr dazu lesen Sie hier.

Welche internen Aufwände kommen auf mich zu?

Dies ist schwer zu beantworten. Es hängt davon ab, wie gut Ihr Unternehmen bereits aufgestellt ist und die Anforderungen umsetzt. Manchmal ist es sinnvoll oder sogar in der Norm vorgesehen, dass ein internes Audit durchgeführt wird, um den korrekten Ablauf des Managementsystems zu testen. In vielen Fällen bieten wir zudem vorbereitende Workshops oder Assessments sowie Gap Analysen an, die Sie bei der Entscheidung für ein offizielles Zertifizierungsverfahren unterstützen.

Stellen Sie sich dem Audit oder Zertifizierungsverfahren, benötigen wir Ihre Mithilfe. Z.B. stellen Sie alle notwendigen Dokumente zusammen oder organisieren die Besichtigung vor Ort. Oftmals ist es sinnvoll, wenn – je nach Auditart – Datenschutzbeauftragte oder Informationssicherheitsbeauftragte, Key Accounter, HR-Bereich oder IT-Administration an einem Audit teilnehmen. Finden unsere Auditorinnen und Auditoren z.B. Abweichungen, müssen diese schnellstmöglichst behoben werden. Haben Sie das begehrte Siegel oder Zertifikat dann erhalten, brauchen Sie ggf. auch Ressourcen, um damit zu werben oder um behördliche Zulassungen zu erhalten.
 

Ist die datenschutz cert GmbH international tätig?

Ja, selbstverständlich führen wir auch Audits außerhalb von Deutschland durch. Je nach Einsatzgebiet führen wir dabei auch englisch-sprachige Audits durch.

Welche Anerkennungen hat die datenschutz cert GmbH?

Sowohl wir als Institution sowie unsere Gutachter*innen sind bei vielen Stellen und Behörden akkreditiert, anerkannt, zertifiziert und lizenziert. Mehr erfahren Sie hier.

Ich habe noch mehr Fragen ...

Wir wissen, es ist nicht einfach, sich mit allen Begrifflichkeiten zu Audits oder Zertifizierungen auszukennen. Wir helfen Ihnen daher gerne weiter. Schicken Sie uns Ihre persönliche Frage gern über unser Kontaktformular.

Fragen zu unseren Leistungen

Prüfnachweis Videosprechstunde

1. Wieviel kosten die Nachweise für Videodienstanbieter*innen?

Der Evaluierungsaufwand hängt von den datenschutzrelevanten Funktionen des Portals, der Videosprechstunde und der IT- und Einsatzumgebung ab. In einem Antragsformular beschreiben und bestätigen Sie uns diese Komponenten abschließend. Auf dieser Grundlage kalkulieren wir den Aufwand für die Evaluation und Erstellung der Nachweise (Zertifikate). 

2. Ich biete mehrere Videosprechstunden an. Bekomme ich einen Rabatt?

Jede Videosprechstunde und jedes Datenschutzmanagement müssen von uns sorgfältig geprüft werden. Wir können jedoch Synergien durchaus nutzen und den Aufwand dadurch minimieren. Bieten Sie sogenannte Whitelabel-Portale an, bei denen der Aufbau völlig gleich ist und sich lediglich ein Layout ändert, kommen wir Ihnen preislich gerne entgegen.

3. Ich habe bereits einen der beiden Nachweise. Kann ich bei Ihnen den anderen bekommen?

Ja. Wir bieten die Nachweise für Datenschutz und von Informationstechniksicherheit auch separat an. Bitte beachten Sie aber: Nachweis ist nicht gleich Nachweis. Lassen Sie sich die Nachweise einer Akkreditierung der Prüf- und Zertifizierungsstelle unbedingt vorlegen, bevor Sie Prüfungen und Zertifikate beauftragen. Beachten Sie bitte auch, dass Sie dann in der Regel unterschiedliche Laufzeiten der Nachweise haben. Die Zertifizierungsstellen untereinander synchronisieren sich i.d.R. nicht.

4. Wie läuft die Evaluierung ab?

Sobald Sie uns beauftragen und wir die Zeitpläne abgestimmt haben, wenden wir unser Evaluierungsverfahren an: Zunächst muss der Evaluationsgegenstand sehr genau definiert und abgegrenzt werden. Sie stellen uns zu Beginn der Evaluation diese Informationen in einem von uns vorgegebenen Formular zur Verfügung (Referenzdokument). Dazu zählen die exakte Bezeichnung des Verarbeitungsvorgangs, die verwendeten Datenarten und die relevanten Standorte und Subdienstleister*innen.

Die Evaluierung wird sodann zweistufig durchgeführt:

  • In einem Auftaktgespräch wird der Geltungsbereich zwischen Ihnen und unseren Evaluator*innen final abgestimmt. Ferner vereinbaren wir mit Ihnen einen verbindlichen Startzeitpunkt, zu dem sämtliche Ihrer Systeme und Dokumente final und prüffähig vorliegen müssen. Ist diese Bedingung nicht erfüllt, können wir die Evaluation nicht durchführen!
  • Sie reichen das abgestimmte Dokument und Nachweise bei uns ein, und dadurch startet der offizielle Evaluationsprozess. Unsere Evaluator*innen prüfen die Umsetzung der Anforderungen.

Zunächst startet die Basis-Prüfung. Hierbei prüfen unsere Evaluator*innen die vorliegenden Nachweise und die grundsätzliche Schlüssigkeit für eine folgende (Haupt-)Evaluation. 

Die Evaluation findet durch Besichtigung der Videosprechstunde anhand von Testzugängen und durch die Nutzung von Tools (z.B. Qualys SSL Labs, Ghostery, whireshark) statt. In Einzelfällen – je nach Geltungsbereich – kann es erforderlich sein, dass wir auch vor Ort eine Evaluierung durchführen müssen („Site Visit“, z.B. eines Rechenzentrums, eines im Scope relevanten Callcenters oder Arbeitsplätze, aus denen ein Support erbracht wird). Liegen uns hingegen beispielsweise für alle relevanten Rechenzentren bereits gültige, anerkennbare Zertifizierungen vor (etwa ISO/IEC 27001 oder IT-Grundschutz), kann ein Site Visit in der Regel entfallen.

Offene Fragen fassen wir in einem Reviewprotokoll zusammen, in welchem Ihre Rückantworten dokumentiert und rechtsverbindlich garantiert werden (= 1 Durchlauf). Dies bündelt wesentliche Informationen und beschleunigt die Prüfung. In der Regel kommt es zu 1-2 Durchläufen mit dem Reviewprotokoll, die von unserem Projekt und Angebot an Sie umfasst sind. Sollten mehr Durchläufe erforderlich sein, stellen wir unseren tatsächlichen Mehraufwand zusätzlich in Rechnung.

Wird der Nachweis erteilt, erhalten Sie eine Urkunde (pdf) und den umfassenden Evaluierungsbericht, den Sie z. B. Aufsichtsbehörden, Verbänden oder Kund*innen als Prüfnachweis vorlegen können.

5. Wie kann ich mich auf die Evaluierung vorbereiten?

Wir evaluieren ausschließlich final aufgestellte Videosprechstunden. Um einen möglichst reibungslosen Ablauf der Evaluierung zu gewährleisten, muss Ihre Videosprechstunde also bereits so aufgestellt sein, dass wir sie testen können. Prüfen Sie intern, ob Sie die in §§ 2 und 2a der Vereinbarung genannten Vorgaben erfüllen. So vermeiden Sie zeit- und kostenaufwändige Mehrfachprüfungen.

Halten Sie zum Projektstart spätestens u.a. folgende Informationen/Dokumente bereit:

  • vertragliche Dokumentationen, AGB o.ä. zwischen Ihnen und den Nutzern*innen der Videosprechstunde
  • Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO bzw. ein entsprechender Auszug, der die Webseiten und die Videosprechstunde beschreibt
  • zu allen relevanten Subunternehmen/Dienstleister*innen: Standorte, Dienstleistungen und Verträge zur Auftragsverarbeitung (Art. 28 DSGVO)
  • Muster der eingesetzten Verpflichtungserklärung auf den Datenschutz für Ihre Beschäftigten, Nachweise für Schulungen zum Datenschutz und zur Informationssicherheit
  • Nachweis über die Bestellung eines*einer Datenschutzbeauftragten oder Begründung, warum er*sie nicht bestellt werden musste
  • Dokumentation der technischen und organisatorischen Sicherheitsmaßnahmen (TOMs) für die Webseite und die Videosprechstunde nach Art. 32 DSGVO
  • Zertifikate zur IT-Sicherheit eines relevanten Rechenzentrums, z.B. gemäß ISO/IEC 27001, vgl. www.datenschutz-cert.de/leistungen/iso/iec-27001 (Liegt kein akkreditiertes Zertifikat zur Informationssicherheit vor, prüfen in der Regel unsere Evaluierenden vor Ort.) 
     

6. Wie lange dauert die Evaluierung?

Ab Angebotsannahme brauchen wir ein paar Tage, um den Evaluierungsstart mit Ihnen gemeinsam zu planen. Die Evaluierung selbst dauert dann 2-6 Wochen, je nachdem, wie viele Abweichungen festgestellt und vom*von der Betreiber*in behoben werden müssen.

7. Ist der Nachweis unbegrenzt gültig?

Nein. Der Nachweis ist bei funktionell gleichbleibendem Evaluationsgegenstand i.d.R. für drei Jahre gültig. Während der Laufzeit werden zwei gesondert zu vereinbarende Überwachungen fällig, um den Nachweis und die Gültigkeit aufrecht zu erhalten. Dies ist eine Akkreditierungsanforderung, um nicht angezeigte Veränderungen der Videosprechstunde, der IT-Systeme oder der verantwortlichen Stelle im Nachgang zu verifizieren und prüfen zu können. Folglich wird die Videosprechstunde jährlich geprüft. Der Aufwand einer Überwachung fällt i.d.R. geringer aus, je nach Änderungen im Geltungsbereich.

Die Laufzeit der Nachweise ist ferner begrenzt, wenn sich gravierende rechtliche Änderungen für Videosprechstunden ergeben, z.B. hinsichtlich der Drittstaatenproblematik oder sofern Aufsichtsbehörden dies fordern würden. Auch kann sich die Anlage 31b BMV-Ä ändern und eine neue Evaluation erforderlich machen. In diesem Fall müssen wir die Nachweise ohne Geld-zurück-Garantie entziehen, und Sie können neue Evaluierung beantragen.

Änderungen an der Videosprechstunde sind uns anzuzeigen. Werden Änderungen vorgenommen, die den Evaluierungsgegenstand beeinflussen, ist eine gesonderte Evaluierung erforderlich. Andernfalls kann der Nachweis entzogen werden. Gerne machen wir Ihnen ein Angebot zur Durchführung einer anlassbezogenen Evaluierung.

8. Kann ich eine App oder Software für Videosprechstunden evaluieren lassen?

Ja.

9. Helfen Sie mir bei der Konfiguration der Videosprechstunde oder beim Datenschutz?

Nein. Da wir unsere Unabhängigkeit gegenüber unseren Aufsichtsbehörden nachweisen müssen, dürfen wir Sie nicht beraten. Wenn Sie Fragen zur Auslegung des § 5 Anlage 31b zum BMV-Ä oder der DSGVO haben, können wir Ihnen unser Vorgehen erläutern. Wir erstellen jedoch für Sie weder AGB noch Datenschutzhinweise und empfehlen Ihnen auch keine Technikprodukte.

10. Ist die datenschutz cert GmbH anerkannt?

Ja. Die Anlage 31b zum BMV-Ä sieht vor, dass akkreditierte Stellen ein Zertifikat für „Datenschutz“ und „Informationstechniksicherheit“ vergeben können. Für den sicherheitstechnischen Nachweis sind wir bei der Deutschen Akkreditierungsstelle mit unserem eigenen Programm „VSS IT“ akkreditiert. Für den Nachweis zum Datenschutz haben wir einen Antrag gestellt, der zur Zeit bearbeitet wird. Damit greift für die Prüfung des Datenschutzes die Übergangsregelung. Bis 31.12.2023 dürfen wir auch ohne eine solche Akkreditierung prüfen. Die datenschutz cert GmbH ist bereits nach ISO/IEC 17065 akkreditiert

11. Wer reicht den Nachweis bei der KBV ein?

Sie bzw. die Videodienstanbieter*innen. Formulare sind unter https://www.kbv.de abrufbar.

12. Was ist mit dem inhaltlichen Nachweis?

Videodienstanbieter*innen müssen gemäß § 5 Abs. 2c der Anlage 31b zum BMV-Ä bestätigen, dass sie die inhaltlichen Anforderungen der Vereinbarungen erfüllen. Dies wird NICHT durch ein Zertifikat nachgewiesen, sondern durch eine Selbstauskunft bzw. Eigenerklärung der Videodienstanbieter*innen. Auch hierfür gibt es ein Formular auf der Seite der KBV: https://www.kbv.de.

13. Was ist mit Videosprechstunden für Zahnärztinnen / Zahnärzte?

Hierzu gibt es eine eigene Vereinbarung mit der Anlage 16 zum BMV-Z. Wenn Sie für diesen Spezialbereich gelistet sind, erkundigen Sie sich bitte bei den dortigen Fachverbänden. Ggf. wird unser Nachweis auch dort anerkannt.

14. Ich bin selbst Ärztin / Arzt / Therapeut / Therapeutin, bekomme ich hier den Nachweis für meine Kassenärztliche Vereinigung oder können Sie mir eine Videosprechstunde empfehlen?

Nein. Der Nachweis ist beim*bei der Videodienstanbieter*in erhältlich. Wir dürfen diese Bescheinigung nicht herausgeben, das kann nur der*die Anbieter*in selbst. Leider dürfen wir Ihnen auch keine Videosprechstunde empfehlen. Bitte sehen Sie von derartigen Nachfragen bei uns ab.

15. Wir wollen in der Kanzlei eine Videosprechstunde mit Mandanten einsetzen, brauche ich ein Zertifikat?

Die Anlage 31b zum BMV-Ä gilt nur für Heilberufe; sie ist u.a. dafür gedacht, dass heilberufliche Leistungen abrechnungsfähig sind. Für Rechtsanwälte*innen oder Wirtschaftsprüfer*innen sowie für andere Berufe sind derzeit keine gesetzlich verpflichtenden Nachweise gegenüber öffentlichen Stellen oder Verbänden bekannt. Da jedoch alle Stellen u.a. die Datenschutzgrundverordnung (DSGVO) nachweisbar einhalten müssen (vgl. Art. 5 DSGVO), macht es durchaus Sinn, wenn eine Videosprechstunde entsprechend von einer unabhängigen und fachkundigen Stelle geprüft wurde. Gerne unterbreiten wir Ihnen ein Angebot.

16. Sind Ton- oder Bildaufzeichnungen zulässig?

Ja, Ton- und Bildaufzeichnungen aus der Videosprechstunde heraus sind nunmehr zulässig, sofern beide Seiten damit einverstanden sind. Bei einer Evaluation weisen Sie dann die Wirksamkeit der Einwilligungserklärung nach (sie muss ausdrücklich, freiwillig, informiert und widerruflich erfolgen).

17. Ist der Einsatz von Peer-to-Peer (P2P) und einer Ende-zu-Ende Verschlüsselung verpflichtend?

Die Anlage 31b zum BMV-Ä sieht vor, dass die Übertragung der Videosprechstunde über eine P2P-Verbindung zwischen Vertragsarzt*ärztin und Patient*in oder der Pflegekraft, ohne Nutzung eines zentralen Servers, erfolgen soll. Dies muss sollte also grundsätzlich möglich sein. Kaum eine Videosprechstunde kann eine 100%-ige P2P-Verbindung anbieten. Anlage 31b zum BMV-Ä verlangt bei Abweichen eines P2P-Verfahrens geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Wird eine Videosprechstunde nicht über eine P2P-Lösung umgesetzt, dürfen also nur genauso sichere Alternativen verwendet werden.

§ 3 Abs. 2 Anlage 31b zum BMV-Ä fordert zudem, dass sämtliche Inhalte der Videosprechstunde während des gesamten Übertragungsprozesses nach dem Stand der Technik Ende-zu-Ende verschlüsselt sind. Der Stand der Technik ergibt sich insbesondere aus der Technischen Richtlinie 02102 des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils aktuell gültigen Fassung.

Bei dem Einsatz von WebRTC werden sowohl bei einer direkten P2P-Verbindung, als auch bei dem Einsatz eines TURN-Servers die übertragenen Daten zwischen den Endpunkten automatisch Ende-zu-Ende verschlüsselt. Sollten alternative Methoden wie z.B. Insertable Streams eingesetzt werden, ist zu beachten, dass die eigentlichen Schlüssel sicher zwischen den Clients ausgetauscht werden müssen (z.B. über einen RTCDataChannel).

Grundsätzlich muss die Implementierung der eingesetzten Lösung sowie der eigentliche Schlüsselaustausch den Evaluator*innen nachvollziehbar dargelegt werden.

Zudem fordern wir, dass Ausnahmen gegenüber den Kommunikationsteilnehmern*innen deutlich gemacht werden, z.B. durch ein Pop-Up im Anmeldebereich und in AGB oder Nutzungsbedingen / Datenschutzerklärung, welche technische Lösung verwendet wird und ob P2P vorliegt.

18. Sind Anbieter*innen und deren Dienstleister*innen auf die EU beschränkt?

§ 2a Absatz 3 der Vereinbarung sieht vor, dass die Verarbeitung von personenbezogenen Daten (auch im Auftrag) nur im Inland, in einem Mitgliedsstaat der Europäischen Union oder in einem diesem nach § 35 Absatz 7 des Ersten Buches Sozialgesetzbuch gleichgestellten Staat, oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen darf. Dies bedeutet im Klartext, dass Dienste, die im Rahmen von Videosprechstunden erbracht werden, nur zulässig sind, wenn die Verarbeitung ausschließlich in der EU/des EWR erbracht werden oder in Staaten, zu denen die EU-Kommission einen gültigen Angemessenheitsbeschluss gemäß Art. 45 DSGVO veröffentlicht hat (siehe Liste auf der Website der EU-Kommission). Diese Vorgabe ist laut Auskunft der KBV und des GKV uns gegenüber ganz bewusst enger gefasst als die Regelungen der DSGVO zur Drittstaatenverarbeitung und zur Auslegung des EuGHs (Rechtssache „Schrems II“). Sie ist so zu interpretieren, dass Anbieter*innen aus z. B. Indien, für welche bekanntlich KEIN Angemessenheitsbeschluss vorliegt, nicht datenschutzrechtlich zulässig im Sinne der Anlage 31b zum BMV-Ä genutzt werden dürfen. Die Nutzung von EU-Standardvertragsklauseln oder Binding Corporate Rules reicht bei diesen Drittstaaten nicht mehr aus für eine Zertifizierung gemäß der Anlage 31b zum BMV-Ä. Hintergrund hierfür ist, dass sich der Wortlaut der Anlage 31b zum BMV-Ä an § 3 Absatz 3 Digitale Gesundheitsanwendungen-Verordnung – DiGAV orientiert. Auf Rückfrage bei der KBV erhielten wir die Auskunft, dass diesbezüglich die enge Auslegung der KBV, des GKV Spitzenverbands und des Bundesministeriums für Gesundheit (BMG) sowie des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) anzuwenden ist.

Das BMG hat den Hinweis gegeben, dass diesbezüglich das BfArM für DiGA-Anbieter*innen auf seiner Webseite eine Handreichung veröffentlicht hat: "Informationen zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands im Zusammenhang mit dem Prüfverfahren des BfArM gemäß § 139e Fünftes Buch Sozialgesetzbuch (SGB V)", abrufbar über die Website des BfArM.

Diese Handreichung kann nach Auskunft der KBV analog auch zur Interpretation der Anforderungen an die Datenverarbeitung im Rahmen der Videosprechstunde herangezogen werden.

Wir empfehlen Ihnen dringend, diese Drittstaatenproblematik VOR einer Evaluation abschließend zu klären und zwar für alle relevanten Komponenten (Server, Videokommunikation, STUN, TURN, E-Mail, SMS usw.). Auch die von Ihnen ggf. eingesetzten Dienstleister*innen hierfür und deren Subunternehmer*innen sollten möglichst KEINEN Drittstaatenbezug aufweisen, da diese Evaluationen in der Regel sehr aufwändig sind.

Die EU-Kommission hat am 10. Juli 2023 für die USA einen neuen Angemessenheitsbeschluss erlassen. Danach können Verantwortliche und Auftragsverarbeiter wieder personenbezogene Daten an die vom US-Handelsministerium gelisteten Unternehmen und Organisationen in den USA übermitteln. Die aktuelle Liste können Sie hier abrufen: Website des Data Privacy Framework. Die Rechtslage dazu hat sich also erneut geändert. Es ist zu erwarten, dass gegen diesen Beschluss erneut vor dem EuGH geklagt wird. Auch ist noch nicht absehbar, ob die KBV, der GKV-Spitzenverband oder das BfArM sowie andere Stellen sich anders positionieren werden. Bitte beobachten Sie daher die neuesten Entwicklungen dazu genau. Der Einsatz von Unternehmen mit einem Drittstaatenbezug bleibt angesichts der sich stetig ändernden Rechtslage riskant. 

19. Meine Subunternehmer*innen erhalten allenfalls Zugriff auf Pseudonyme im Rahmen der Dienste der Videosprechstunde. Ist das ok?

Pseudonyme (z.B. IP-Adressen, ID-Nummern, Patientennummern) sind auch personenbezogene Daten. Sie müssen also nachweisen, dass alle Anforderungen an den Datenschutz und die Sicherheit auch hier gewährleistet sind.

20. Was gilt, wenn Gerichte oder Aufsichtsbehörden in Zukunft eine andere Rechtsauffassung vertreten oder sich die Rechtslage ändert?

Sollten die Datenschutzbehörden oder die Akkreditierungsstellen im Rahmen ihrer Aufsichtstätigkeit oder auch Gerichte eine abweichende Rechtsauffassung vertreten, müssen Videodienstanbieter*innen eine Anpassung vornehmen, um weiterhin bei der KBV und dem GKV Spitzenverband als Videosprechstundenanbieter*in gelistet zu sein. Dies gilt auch, wenn sich die entsprechenden Gesetze oder die Anlage 31b der BMVÄ zwischenzeitlich ändern.

Wenn also die Behörden in Deutschland eine strengere Auslegung anwenden und z.B. den Einsatz von Subunternehmen mit US-amerikanischem Bezug komplett ausschließen, sind wir als Zertifizierungsstelle gezwungen, diese Auslegung mitzutragen und bisherige Zertifizierungen auslaufen zu lassen. Wenn Sie sich für diese Eventualitäten rüsten wollen, sollten Sie möglichst auf einen Einsatz dieser Subunternehmen verzichten.

IT-Sicherheitskatalog

1. Was ist bei der Einführung eines ISMS nach IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG und Absatz 1b zu berücksichtigen?

Bei der Einführung des Informationssicherheits-Managementsystems (ISMS) ist neben der ISO/IEC 27001 die branchenspezifische Norm ISO/IEC 27019 zu berücksichtigen.

2. Was gehört zum Geltungsbereich (Scope) des ISMS für den sicheren Netz- bzw. Anlagenbetrieb?

Für den sicheren Netzbetrieb gilt: Der Scope muss alle Anwendungen, Systeme und Komponenten enthalten, die für einen sicheren Netzbetrieb notwendig sind. Damit sind insbesondere alle Systeme des Netzbetreibers im Scope erfasst, welche direkt Teil der Netzsteuerung sind, d. h. unmittelbar Einfluss auf die Netzfahrweise nehmen.

Für Betreiber von Energieanlagen gilt: Der Scope muss alle in der Energieanlage eingesetzten TK- und EDV-Systeme umfassen. Die Einteilung der eingesetzten Anwendungen, Systeme und Komponenten erfolgt in sogenannten Zonen von 1 bis 6, in Abhängigkeit zur Bedeutung für den sicheren Anlagenbetrieb. Das ISMS muss mindestens die Zonen 1 bis 3 umfassen.

3. Was muss die Risikoanalyse eines Netz- bzw. eines Anlagenbetreibers enthalten?

  • Schutzziele: Verfügbarkeit, Integrität und Vertraulichkeit 
  • Schadenskategorien: „kritisch“, „hoch“, „mäßig“, „gering“ (für Energieanlagenbetreiber)
  • Einstufung: Komponenten, Systeme und Anwendungen, die für einen sicheren Netzbetrieb notwendig sind, als mindestens „hoch“
  • Beachtung besonderer Schadensszenarien

4. Was muss im Netzstrukturplan beim Netzbetreiber enthalten sein?

  • alle Anwendungen, Systeme und Komponenten des Geltungsbereiches samt Verbindungen.
  • insbesondere „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ sowie „Sekundär-, Automatisierungs- und Fernwirktechnik“.

5. Ist ein Ansprechpartner „IT-Sicherheit“ bei der Bundesnetzagentur zu melden?

Sowohl Netzbetreiber als auch Betreiber von Energieanlagen müssen einen Ansprechpartner(in) bei der Bundesnetzagentur (BNetzA) melden.

KRITIS und § 8a BSIG

1. Wann muss ich feststellen, dass ich eine kritische Infrastruktur bin?

Bis zum 31. März des Kalenderjahres muss für das vorhergehende Jahr geprüft werden, ob die in der KRITIS-VO genannten Schwellenwerte überschritten wurden. (Vgl. den zutreffenden Sektor-Anhang der KRITIS-V, jeweils im Teil 1 Nr. 3)

2. Wann muss ich mich wo registrieren?

Bis zum 01. April des Kalenderjahres, in dem die Schwellenwerte (erstmalig) überschritten wurden, muss sich ein Betreiber einer kritischen Infrastruktur beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. (Vgl. den zutreffenden Sektor-Anhang der KRITIS-V, jeweils im Teil 1 Nr. 4)

3. Ich bin nun Betreiber einer kritischen Infrastruktur, bis wann muss ich erstmalig die Umsetzung der Anforderungen gemäß § 8a (1) BSIG nachweisen?

Gemäß § 8a (3) BSIG ist zwei Jahre nach der Registrierung der kDl ein Nachweis zu erbringen. 

4. Ich habe festgestellt, dass ich die Schwellenwerte unterschreite. Muss ich dann weiterhin den Nachweis erbringen?

Kurz gesagt: Nein. In dieser Situation ist es ratsam so früh wie möglich mit dem KRITIS-Büro des BSI den Kontakt zu ersuchen. Diese stellen dann sehr zeitnahe ein Formular zur Verfügung, um die Anlagen zu deregistrieren. 

5. Wird in einer Prüfung zwingend die Konformität zum B3S geprüft?

Nein. Bei einer KRITIS-Prüfung handelt es sich grundsätzlich nicht um eine Konformitätsbewertung. Der B3S kann als Orientierung der Schwerpunkte herangezogen werden – also als Grundlage einer Prüfung. Tatsächlich erscheinen Prüfungen auf Basis der ISO/IEC 27001 in Verbindung mit dem B3S als weniger aufwändig für Betreiber und werden genauso akzeptiert. 

6. Ab wann muss ich verpflichtend ein System zur Angriffserkennung eingeführt haben?

Die Einführung eines Systems zur Angriffserkennung ist spätestens bis zum 01. Mai 2023 verpflichtend.

7. Was ist ein System zur Angriffserkennung?

Grundsätzlich existieren hierzu keine Vorgaben durch das BSI. Im Allgemeinen wird hierunter jedoch der Betrieb eines IDS (Intrusion Detection Systems) verstanden. Die Anforderung, an den Einsatz eines Systems zur Angriffserkennung, kann gegenwärtig durch Firewalls mit entsprechenden Features, einer eigenen Appliance, zentralen Logservern (z.B. SysLog, SIEM, …) oder anderen, auch virtuellen, Lösungen erfüllt werden. Im September 2022 ist eine Konkretisierung geplant.