Im Mai 2023 hat das BSI verbindliche Vorschriften für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) basieren auf §8a (5) BSIG und legen nun normative Rahmenbedingungen für KRITIS-Prüfungen fest. Die neu definierten Anforderungen sind zum Großteil seit dem 01. Juni 2023 verpflichtend, sind also auch für den derzeitigen Prüfungsdurchlauf noch anwendbar. Einige Anforderungen sind jedoch erst ab 01. Januar 2024 verpflichtend, diese sind entsprechend im Text markiert.
Die Anforderungen definieren verbindliche Anforderungen für die Durchführung von Prüfungen (D), die erforderlichen Nachweise (N) und die prüfenden Stellen (P). Dabei werden sowohl neue Vorgaben eingeführt als auch bestehende BSI-Dokumente und Leitfäden für Prüfungen verbindlich gemacht. Dies trägt dazu bei, die Erwartungen und Rahmenbedingungen für Prüfungen zentraler und deutlicher zu gestalten.
Prüfende Stelle und Prüfer
Einige Vorgaben bezüglich der Prüfer und prüfenden Stellen werden nun verbindlich gemacht, insbesondere in Bezug auf formale Aspekte und Unabhängigkeit.
Unabhängigkeit: Sowohl die prüfende Stelle als auch das Prüfteam müssen dem Betreiber gegenüber sowohl in rechtlicher als auch wirtschaftlicher Hinsicht unabhängig sein, um bei der Prüfung objektiv vorgehen zu können.
Eine interne Revision darf als prüfende Stelle fungieren, sofern ein effektives Revisionssystem vorhanden ist. Die Wirksamkeit muss durch die Einhaltung der IIA-Standards sowie insbesondere durch ein Quality Assessment (QA) gemäß IDW PS 983 oder dem DIIR Revisionsstandard Nr. 3 nachgewiesen wird (verpflichtend ab 2024).
Prüfung und Nachweis
Die GAiN definieren verbindliche Anforderungen an die Durchführung von Prüfungen. Insbesondere existieren Anforderungen an die Prüfer, welche Themengebiete mittels des Vier-Augen-Prinzips geprüft werden müssen. Zusätzlich ist eine Prüfung der Mängelliste und Altmängeln gefordert.
Vier-Augen-Prinzip
(verpflichtend ab 2024, bereits jetzt empfohlen)
Die Prüfung bestimmter Bereiche muss gemäß dem Vier-Augen-Prinzip durchgeführt werden.
Prüfungsbereiche: Das Vier-Augen-Prinzip muss in den folgenden Themengebieten und Bereichen von KRITIS-Prüfungen angewendet werden:
- Geltungsbereich
- Referenzierte Zertifikate wie ISO/IEC 27001 und deren Abdeckung, Eignung und Relevanz für den KRITIS-Geltungsbereich
- Vorgehensweise bei der Risikoanalyse und -behandlung
- Überprüfung der vorherigen Mängelliste
- Vor-Ort-Prüfungen (Besichtigung, Begehung, Beobachtung)
Verfahren: Die genannten Themen erfordern die unabhängige Überprüfung durch zwei oder mehr qualifizierte Prüfer, die eigenständige Bewertungen vornehmen und das jeweilige Thema unmittelbar prüfen. Falls Themen aufgeteilt werden, bedarf dies einer Qualitätskontrolle, wobei einzelne Prüfer nicht mehr als zwei Drittel der gesamten Zeit prüfen dürfen.
Dokumentation: Themen, die gemäß dem Vier-Augen-Prinzip geprüft wurden, müssen einschließlich der beteiligten Prüfer und der zeitlichen Aufteilung im Prüfplan gekennzeichnet werden.
Mängelliste
Der Umgang mit Altmängeln aus früheren KRITIS-Prüfungen wird präziser geregelt. Dabei gilt:
Es müssen alle Mängel und deren Behebungsstatus aus vorherigen Prüfungen als Teil der aktuellen Prüfung bewertet werden. Das Ergebnis ist als Teil des Prüfberichts zu dokumentieren. Weiter bestehende Mängel müssen in die aktuelle Mängelliste mitaufgenommen werden.
Ab 2024 muss die prüfende Stelle zusätzlich die geplanten Maßnahmen zum Beheben von Mängeln plausibilisieren.
Geltungsbereich
Die Anforderungen an die Dokumentation des Geltungsbereichs (GBD) und des Netzstrukturplans (NSP), wie sie in der Orientierungshilfe für Nachweise (OH-N) des BSI festgelegt sind, sind nun gemäß §8a (5) BSIG verbindlich.
Berichtswesen
Die Anforderungen an die einzureichenden Dokumente sind nun formeller konkretisiert, sowohl im Prüfbericht der Prüfer als auch in den offiziellen Nachweisdokumenten.
Prüfbericht
Erstmals werden auch konkrete Anforderungen an den Inhalt von Prüfberichten gestellt. Die Anforderungen umfassen formale Aspekte wie Sprache (deutsch, englisch) und Versionierung sowie inhaltliche Aspekte wie die notwendigen Metadaten (Geltungsbereich, Prüfziel, Prüfungszeiten, Prüfer / prüfende Stelle) und Informationen über die Prüfungsdurchführung (Dokumentation der Prüfschritte bzw. der Prüfobjekte, ab 01. Januar 2024) sowie nachvollziehbare Auswahl der Stichproben.
Nachweise und Formulare
Die vorhandenen Vorlagen des BSI für die Nachweiserbringung müssen nun verbindlich verwendet werden, und die Inhalte müssen in deutscher Sprache dokumentiert werden. Die folgenden Dokumente wurden aktualisiert:
- Formular KI (Angaben zur geprüften Kritischen Infrastruktur und zur Ansprechperson) (Stand 2. Mai 2023)
- Formular P (Angaben zur Prüfung) (Stand 2. Mai 2023)
- Vorlage für eine Mängelliste im MS-Excel-Format (Version 1.2, Stand 12. Mai 2023)
- Vorlage für einen Prüfplan im MS-Excel-Format (Stand 12. Mai 2023)
Mehr erfahren
Sie wollen tiefer ins Thema KRITIS einsteigen? Werfen Sie einen Blick in unsere bereits erschienenen Blogbeiträge:
- KRITIS: Was sind kritische Infrastrukturen und wie werden ihre Systeme geschützt?
- KRITIS: Die gesetzliche Grundlage
- KRITIS: Sektoren, Anlagen und Schwellenwerte
- KRITIS: Anforderungen, Nachweise und Audits
- KRITIS und PCI DSS
- KRITIS: BSI veröffentlicht Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung
Wenn Sie Unterstützung oder Beratung zu Ihrem KRITIS-Audit benötigen, kontaktieren Sie uns. Wir helfen Ihnen gerne.