Ergebnisse von Prüfungen
Das Ergebnis von KRITIS-Prüfungen ist eine Einschätzung der IT-Sicherheit in Kritischen Infrastrukturen durch KRITIS-Prüfer. Die Prüfer bewerten die in der Prüfung gewonnenen Erkenntnisse und stellen Abweichungen als Mängel fest. Die Einschätzungen werden im Prüfbericht dokumentiert und vom Betreiber in den offiziellen Nachweisdokumenten an das BSI berichtet.
Die vom Betreiber eingereichten Nachweise werden durch das BSI geprüft, wobei es zu Rückfragen kommen kann. Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch Cyber Security Maßnahmen behoben werden und können durch Prüfer oder das BSI bis zum oder im nächsten Prüfzyklus erneut getestet werden.
Prüfurteil
Bewertung
Während der Prüfhandlung bis zum Abschluss des Prüfberichts bewertet das Prüfteam die vorgefundene Situation, sammelt Nachweise und fällt Urteile. Das gesamte Prüfurteil des Prüfteams basiert auf vorgefundenen Abweichungen und Lücken (Schwachstellen) im Prüfzeitraum, der vor allem die Vergangenheit betrachtet. Am Ende steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben.
KRITIS-Prüfungen testen, ob und wie die gesetzlichen KRITIS-Anforderungen durch Cyber Security Maßnahmen umgesetzt sind. Stellen KRITIS-Prüfer im Rahmen der Prüfhandlungen dazu Abweichungen fest, bewerten sie diese in der offiziellen Prüfdokumentation.
Mängel und Umsetzungsplan
In KRITIS-Prüfungen werden die Mängel nach Vorgabe des BSI in Kategorien bewertet:
- Schwerwiegende Mängel stellen ein gravierendes, erhebliche Mängel ein großes Risiko dar.
Abweichungen müssen zeitnah beseitigt werden, es gibt akuten Handlungsbedarf, da erheblicher Schaden an der kritischen Dienstleistung zu erwarten ist.
Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert. - Geringfügiger Mängel stellen
ein Risiko
ohne akuten Handlungsbedarf dar, die Abweichung muss mittelfristig beseitigt werden.
Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert. - Empfehlungen sind Verbesserungshinweise zu Sicherheit und Kommentare zu Maßnahmen.
Die Empfehlungen werden im Prüfbericht dokumentiert, Mängelliste optional. - Keine Abweichung bedeutet eine Umsetzung der Anforderungen ohne Mangel.
Dies wird im Prüfbericht dokumentiert.
Die Mängelliste mit dem Umsetzungsplan enthält als Hauptergebnis der KRITIS-Prüfung die vorgefundenen IT-Sicherheitsmängel, abgestimmten Maßnahmen und Fristen zur Behebung. Die Mängel werden in den eben genannten Kategorien und bewertet.
Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch angemessene Verbesserungsmaßnahmen behoben werden, wie im Umsetzungsplan der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt dann durch die verantwortlichen Fachbereiche und den Betrieb (möglichst in einem langfristigen Programm).
Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen nach dem Umsetzungsplan überwachen. Die Maßnahmen selbst werden (sollten) im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung und auch vorläufige Maßnahmen bei sehr langen Fristen verlangen.
Prüfbericht
Das Prüfteam dokumentiert sein Vorgehen in der Prüfung und die Ergebnisse der Prüfungshandlungen in einem Prüfbericht. Dazu zählen Beobachtungen, Feststellungen (bewertete Mängel und Abweichungen) und eine Einschätzung der IT-Sicherheit in der KRITIS-Anlage. Je nach Berufsstand und Unternehmen haben Berichte unterschiedliche Schwerpunkte.
Der Bericht wird dem BSI nur auf Nachfrage vom Betreiber zur Verfügung gestellt. Es gibt keine definierten Vorgaben an Form und Inhalt der Berichte, ein dokumentiertes Vorgehen in der Prüfung erleichtert die Nachvollziehbarkeit der Prüfung im Unternehmen und für Dritte:
- Prüfmethodik und Prüfstandard/Prüfgrundlage
- Methodik für Stichproben und Sampling
- Methodik zur Bewertung
- Auswahl von Anlagen, Standorten etc.
- Auswahl von Controls, Schwerpunkten und Nachweisen
- Beschreibung der KRITIS-Anlage, Schwellenwerte
- Dokumentation der Prüfhandlungen
- Dokumentation der Ergebnisse: Abweichungen, Mängel
- Dokumentation der Prüfungen, Termine, Erklärungen
- Einschätzungen, Bewertungen
- etc.
Nachweis der Prüfung
Nachweisdokumente
Die wichtigsten Unterlagen sind die Nachweisdokumente, in denen Prüfer die Ergebnisse der BSIG-Prüfung eintragen. Die BSI-Formulare sind in zwei Dokumenten mit Anhängen zusammengefasst, für die es teilweise Vorlagen vom BSI gibt. Die Dokumente werden in Zusammenarbeit von KRITIS-Prüfer und Betreiber erstellt und vom Betreiber ans BSI übermittelt.
| Dokument | Inhalt | Vorlage | Verfasser | Einreichung |
|---|---|---|---|---|
| Nachweisdokument KI | Informationen KRITIS-Anlage | BSI | Betreiber | ◉ |
| Nachweisdokument P | Ergebnis Prüfung | BSI | Prüfer | ◉ |
| Anlage PD.A | Geltungsbereich + Netzstrukturplan | Betreiber | ◉ | |
| Anlage PD.B | Prüfablauf | BSI | Prüfer | ◉ |
| Anlage PD.C | Prüfgrundlage | Prüfer | ◉ | |
| Anlage PE.A | Mängelliste | BSI | Prüfer | ◉ |
| Anlage PS.A | Nachweis Prüfkompetenz | Prüfer | ◉ | |
| Prüfbericht | Dokumentation Prüfvorgehen | Prüfer | ⬚ | |
| Nachweise | Evidenzen, Protokolle, Logs | Prüfer |
Die Nachweisdokumente und Anhänge sollen in Deutsch abgegeben werden; eigene Dokumente der Betreiber und der Prüfbericht können auch Englisch sein.
Nachweisdokument KI
Dokumentation der Kritischen Infrastruktur gemäß § 8a Absatz 3 BSIG. Enthält Angaben zur geprüften Kritischen Infrastruktur und zur Ansprechperson (KI.1 bis KI.7), die der KRITIS-Betreiber selbst ausfüllt und zeichnet. Die weiteren Dokumente und Anhänge müssen hiermit zusammen eingereicht werden. (Vorlage vom BSI)
Hinweis: Der Anlagenname in Feld KI.3 muss korrekt angegeben werden (vgl. Erinnerungsschreiben des BSI zum fälligen Nachweis). Der Betreiber muss das Dokument stempeln und unterschreiben.
Nachweisdokument P
Angaben zur Prüfung, den Ergebnissen und dem Prüfteam. Dieses Formular enthält die wichtigsten Ergebnisse und wird von der prüfenden Stelle gezeichnet und gestempelt.
- Allgemeine Angaben zum Betreiber
- Abschnitt PD Durchführung der Prüfung: Angaben zur Art der Prüfung, Prüfgrundlage und Erläterungen, mögliche Zertifizierungen — mit separaten Anlagen PD.A, PD.B und PD.C
- Abschnitt PE Prüfergebnis und Sicherheitsmängel: Einschätzung des Reifegrads von ISMS, BCMS und Angriffserkennung (SzA) beim Betreiber (Skala 1-5), Auflistung der Sicherheitsmängel und abgestimmter Umsetzungsplan als Anlage PE.A (siehe unten)
- Abschnitt PS Prüfende Stelle: Angaben zur Eignung der prüfenden Stelle und Prüfteam, Unabhängigkeit und Nachweise dafür als separate Anlage PS.A und PS.B (siehe unten)
Hinweis: Der Anlagenname in Feld P.3 muss korrekt angegeben werden (vgl. Erinnerungsschreiben BSI).
Anlagen und Anhänge
Das Nachweisdokument P enthält folgende Anlagen:
- Anlage PD.A: Geltungsbereich und Netzstrukturplan
Beschreibung und grafische Darstellung des Geltungsbereichs der KRITIS-Anlage — das BSI hat hierzu Anforderungen in der Orientierungshilfe für Nachweise (G01-G13, N01-N10). Diese Anforderungen müssen in der Grafik oder der Beschreibung ersichtlich werden. - Anlage PD.B: Prüfablauf (Vorlage vom BSI)
Informationen zum Ablauf der Prüfung mit Prüfthemen, Terminen, Standorten. Die Vorlage muss verwendet werden und vollständig ausgefüllt als Excel-Datei eingereicht werden. - Anlage PD.C: Prüfgrundlage
Beschreibung der Prüfgrundlage, welche Normen, B3S und Regelwerke verwendet und wie der Stand der Technik in der Prüfung berücksichtigt wurde. Aus der Prüfgrundlage sollte auch hervorgehen, dass die OH SzA berücksichtigt wurde. - Anlage PE.A: Mängelliste (Vorlage vom BSI)
Liste der in der Prüfung gefundenen Sicherheitsmängel mit Umsetzungsplan zur Behebung der Mängel — die in geringfügige und schwerwiegende/erhebliche Abweichungen eingeteilt werden. Die Vorlage muss verwendet und vollständig ausgefüllt als Excel-Datei eingereicht werden mit Angaben konkreter Daten zur Mängelbehebung und Status in Prozent. - Anlage PS.A: Nachweis Prüfverfahrenskompetenz
oder gleichwertige Kompetenznachweise für Prüfstelle und Prüfteam.
Quelle und Texte aus den BSI-Formularen KI und P, Stand 2024, und aus den Hinweisen des BSI, Stand 2024.
Die BSI Orientierungshilfe für Nachweise (OH-N) enthält auch Hinweise und Muster für Nachweise.
Einreichung ans BSI
Übermittlung ans BSI
Nach der Prüfung übermitteln Betreiber dem BSI als Ergebnis die Nachweisdokumente KI und P mit Anlagen (auf Deutsch). Die Dokumente sollen elektronisch ans BSI übermittelt werden über das Melde- und Informationsportal (MIP).
Es kann nach der Übermittlung der Prüfdokumentation zur Nachfragen des BSI an Prüfer und Betreiber zu formellen Themen, Feststellungen und Maßnahmen kommen. Ebenso kann das BSI im weiteren Verlauf einen Bericht der Umsetzung verlangen. Die Mängelliste und aktualisierte Umsetzungsständen muss alle 1-6 Monate ans BSI übermittelt werden.
Bestanden?
Es gibt als Ergebnis von KRITIS-Prüfungen kein Zertifikat durch die Prüfer oder das BSI. Es gibt kein formelles Bestehen der Prüfung und auch keinen Bescheid als zertifizierter KRITIS-Betreiber — die Prüfung dokumentiert lediglich den Ist-Stand im Prüfzeitraum.
Tiefenprüfung
Das BSI kann nach §8a Abs. 4 BSIG ebenfalls von sich aus überprüfen, ob Betreiber KRITIS-Anforderungen des BSIG einhalten. Diese Tiefenprüfung kann das BSI selbst beim Betreiber durchführen oder durch externe Prüfer veranlassen.
Nach der Prüfung
Behebung der Mängel
Die in der Prüfung festgestellten Mängel müssen vom Betreiber durch Verbesserungsmaßnahmen behoben werden, wie im Umsetzungsplan in der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt durch die verantwortlichen Fachbereiche und den Betrieb.
Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen per Umsetzungsplan überwachen. Die Maßnahmen selbst werden im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung verlangen.
Verbesserungsprogramm
Ein Cybersecurity Programm bei Betreibern zur Behebung der Mängel und Verbesserung der IT-Sicherheit kann dabei helfen, Mängel nachhaltig zu beseitigen. Die Mängel der Prüfungen sollten nach dem Prüfzyklus organisiert behoben werden. Hierbei kann ein strukturiertes Programm helfen, indem es Mängel systematisch beseitigt und Risiken sowie Budget priorisiert.
Mehrjahres-Prüfungen
Die Organisation der KRITIS-Prüfungen sollte von Betreibern strategisch angegangen werden — mit einem langfristigen Programm zur Planung der Nachweisprüfungen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.
Weitere Informationen
Literatur und Links
- Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, 15. August 2024
- Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12. Mai 2023
- Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
- FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik
- Erfolgreich Nachweise einreichen, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Ereignisse über das MIP melden, Bundesamt für Sicherheit in der Informationstechnik, o.D
- Anleitung zur Mängel-Dokumentation in der Mängelliste, Bundesamt für Sicherheit in der Informationstechnik, 19.02.2024