Ergebnisse von Prüfungen

Das Ergebnis von KRITIS-Prüfungen ist eine Einschätzung der IT-Sicherheit in Kritischen Infrastrukturen durch KRITIS-Prüfer. Die Prüfer bewerten die in der Prüfung gewonnenen Erkenntnisse und stellen Abweichungen als Mängel fest. Die Einschätzungen werden im Prüfbericht dokumentiert und vom Betreiber in den offiziellen Nachweisdokumenten an das BSI berichtet.
Die vom Betreiber eingereichten Nachweise werden durch das BSI geprüft, wobei es zu Rückfragen kommen kann. Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch Cyber Security Maßnahmen behoben werden und können durch Prüfer oder das BSI bis zum oder im nächsten Prüfzyklus erneut getestet werden.
Das Prüfurteil für KRITIS
Bewertung
Während der Prüfhandlungen bewertet das Prüfteam die vorgefundene Situation, sammelt Nachweise und fällt Urteile, bis zum Abschluss des Prüfberichts. Das Prüfurteil des Prüfteams basiert auf identifizierten Abweichungen im Prüfzeitraum, der die Vergangenheit betrachtet. Am Ende steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben.
Mängel und Umsetzungsplan
Formell testen Prüfer in KRITIS-Prüfungen, ob und wie die gesetzlichen KRITIS-Anforderungen durch Cybersecurity Maßnahmen bei Betreibern umgesetzt sind. Stellen KRITIS-Prüfer im Rahmen der Prüfhandlungen dazu Abweichungen fest, bewerten sie diese in der offiziellen Prüfdokumentation.
In KRITIS-Prüfungen werden die Mängel nach Vorgabe des BSI in Kategorien bewertet:
- Schwerwiegende Mängel stellen ein gravierendes, erhebliche Mängel ein großes Risiko dar.
Abweichungen müssen zeitnah beseitigt werden, es gibt akuten Handlungsbedarf, da erheblicher Schaden an der kritischen Dienstleistung zu erwarten ist.
Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert. - Geringfügiger Mängel stellen
ein Risiko
ohne akuten Handlungsbedarf dar, die Abweichung muss mittelfristig beseitigt werden.
Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert. - Empfehlungen sind Verbesserungshinweise zu Sicherheit und Kommentare zu Maßnahmen.
Die Empfehlungen werden im Prüfbericht dokumentiert, Mängelliste optional. - Keine Abweichung bedeutet eine Umsetzung der Anforderungen ohne Mangel.
Dies wird im Prüfbericht dokumentiert.
Die Mängelliste mit dem Umsetzungsplan enthält als Hauptergebnis der KRITIS-Prüfung die vorgefundenen IT-Sicherheitsmängel, abgestimmten Maßnahmen und Fristen zur Behebung. Die Mängel werden in den eben genannten Kategorien und bewertet.
Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch angemessene Verbesserungsmaßnahmen behoben werden, wie im Umsetzungsplan der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt dann durch die verantwortlichen Fachbereiche und den Betrieb.
Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen nach dem Umsetzungsplan überwachen. Die Maßnahmen werden im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung und vorläufige Maßnahmen verlangen.
Prüfbericht
Das Prüfteam dokumentiert sein Vorgehen in der Prüfung und die Ergebnisse der Prüfungshandlungen in einem Prüfbericht. Dazu zählen Beobachtungen, Feststellungen (bewertete Mängel und Abweichungen) und eine Einschätzung der IT-Sicherheit in der KRITIS-Anlage. Je nach Berufsstand und Unternehmen haben Berichte unterschiedliche Schwerpunkte.
Der Bericht wird dem BSI nur auf Nachfrage vom Betreiber zur Verfügung gestellt. Es gibt keine definierten Vorgaben an Form und Inhalt der Berichte, ein dokumentiertes Vorgehen in der Prüfung erleichtert die Nachvollziehbarkeit der Prüfung im Unternehmen und für Dritte:
- Prüfmethodik und Prüfstandard/Prüfgrundlage
- Methodik für Stichproben und Sampling
- Methodik zur Bewertung
- Auswahl von Anlagen, Standorten etc.
- Auswahl von Controls, Schwerpunkten und Nachweisen
- Beschreibung der KRITIS-Anlage, Schwellenwerte
- Dokumentation der Prüfhandlungen
- Dokumentation der Ergebnisse: Abweichungen, Mängel
- Dokumentation der Prüfungen, Termine, Erklärungen
- Einschätzungen, Bewertungen
- etc.
Nachweis der Prüfung
Nachweisdokumente
Die wichtigsten Unterlagen sind die Nachweisdokumente, in denen Prüfer die Ergebnisse der BSIG-Prüfung eintragen. Die BSI-Formulare sind in zwei Dokumenten mit Anhängen zusammengefasst, für die es teilweise Vorlagen vom BSI gibt. Die Dokumente werden in Zusammenarbeit von KRITIS-Prüfer und Betreiber erstellt und vom Betreiber im MIP (Portal) an das BSI übermittelt.
Dokument | Inhalt | Vorlage | Verfasser | Einreichung |
---|---|---|---|---|
Nachweisdokument KI | Informationen KRITIS-Anlage | BSI | Betreiber | online |
Nachweisdokument P | Ergebnis Prüfung | BSI | Prüfer | online |
Anlage PD.A | Geltungsbereich + Netzstrukturplan | Betreiber | ⬚ | |
Anlage PD.B | Prüfablauf | BSI | Prüfer | |
Anlage PD.C | Prüfgrundlage | Prüfer | ◉ | |
Anlage PE.A | Mängelliste | BSI | Prüfer | ◉ |
Anlage PS.A | Nachweis Prüfkompetenz | Prüfer | ||
Prüfbericht | Dokumentation Prüfvorgehen | Prüfer | ⬚ | |
Nachweise | Evidenzen, Protokolle, Logs | Prüfer |
Die Nachweisdokumente und Anhänge müssen in Deutsch abgegeben werden; eigene Dokumente der Betreiber und der Prüfbericht können auch Englisch sein.
Nachweisdokument KI
KI enthält die Dokumentation der Kritischen Infrastruktur gemäß § 8a Absatz 3 BSIG, mit Angaben zur geprüften Kritischen Infrastruktur und Ansprechperson (KI.1 bis KI.7), die der KRITIS-Betreiber selbst ausfüllt (PDF vom BSI, wird nun im MIP online ausgefüllt).
Nachweisdokument P
P enthält Angaben zur Prüfung, den wichtigsten Ergebnissen und dem Prüfteam und wird von der prüfenden Stelle gezeichnet und gestempelt (PDF vom BSI, wird nun im MIP online ausgefüllt).
- Allgemeine Angaben zum Betreiber
- Abschnitt PD Durchführung der Prüfung: Angaben zur Art der Prüfung, Prüfgrundlage und Erläterungen, mögliche Zertifizierungen — mit separaten Anlagen PD.A, PD.B und PD.C
- Abschnitt PE Prüfergebnis und Sicherheitsmängel: Einschätzung des Reifegrads von ISMS, BCMS und Angriffserkennung (SzA), Sicherheitsmängel und Umsetzungsplan als Anlage PE.A
- Abschnitt PS Prüfende Stelle: Angaben zur Eignung der prüfenden Stelle und Prüfteam, Unabhängigkeit und Nachweise dafür als separate Anlage PS.A und PS.B
Anlagen und Anhänge
Der Abschnitt P im Online-Formular vom MIP (früher Nachweisdokument P) enthält folgende Anlagen:
- Anlage PD.A: Geltungsbereich und Netzstrukturplan
Beschreibung und grafische Darstellung des Geltungsbereichs der KRITIS-Anlage — das BSI hat hierzu Anforderungen in der Orientierungshilfe für Nachweise (G01-G13, N01-N10).
Wird nur noch in der Erstprüfung eingereicht. - Anlage PD.B: Prüfablauf (Vorlage vom BSI)
Informationen zum Ablauf der Prüfung mit Prüfthemen, Terminen, Standorten. Die Vorlage muss verwendet werden und vollständig ausgefüllt als Excel-Datei eingereicht werden.
Wird nicht mehr regulär eingereicht. - Anlage PD.C: Prüfgrundlage
Beschreibung der Prüfgrundlage, welche Normen, B3S und Regelwerke verwendet und wie der Stand der Technik in der Prüfung berücksichtigt wurde. Aus der Prüfgrundlage sollte auch hervorgehen, dass die OH SzA berücksichtigt wurde. - Anlage PE.A: Mängelliste (Vorlage vom BSI)
Liste der in der Prüfung gefundenen Sicherheitsmängel mit Umsetzungsplan zur Behebung der Mängel — die in geringfügige und schwerwiegende/erhebliche Abweichungen eingeteilt werden. Die Vorlage muss verwendet und vollständig ausgefüllt als Excel-Datei eingereicht werden mit Angaben konkreter Daten zur Mängelbehebung und Status in Prozent. - Anlage PS.A: Nachweis Prüfverfahrenskompetenz
oder gleichwertige Kompetenznachweise für Prüfstelle und Prüfteam.
Wird nicht mehr regulär eingereicht.
Quelle und Texte aus den BSI-Formularen KI und P, Stand 2024, und aus den Hinweisen des BSI, Stand 2025.
Einreichung ans BSI
Übermittlung ans BSI
Nach der Prüfung übermitteln Betreiber dem BSI die Ergebnisse elektronisch ans BSI übermittelt über das Melde- und Informationsportal (MIP). Die Einrichtung ist online und formularbasiert.
Es kann nach der Übermittlung der Prüfdokumentation zur Nachfragen des BSI an Prüfer und Betreiber zu formellen Themen, Feststellungen und Maßnahmen kommen. Ebenso kann das BSI im weiteren Verlauf einen Bericht der Umsetzung verlangen. Die Mängelliste und aktualisierte Umsetzungsständen muss alle 1-6 Monate ans BSI übermittelt werden.
Bestanden?
Es gibt als Ergebnis von KRITIS-Prüfungen kein Zertifikat durch die Prüfer oder das BSI. Es gibt kein formelles Bestehen der Prüfung und auch keinen Bescheid als zertifizierter KRITIS-Betreiber — die Prüfung dokumentiert lediglich den Ist-Stand im Prüfzeitraum.
Tiefenprüfung
Das BSI kann nach §8a Abs. 4 BSIG ebenfalls von sich aus überprüfen, ob Betreiber KRITIS-Anforderungen des BSIG einhalten. Diese Tiefenprüfung kann das BSI selbst beim Betreiber durchführen oder durch externe Prüfer veranlassen.
Nach der Prüfung
Behebung der Mängel
Die in der Prüfung festgestellten Mängel müssen vom Betreiber durch Verbesserungsmaßnahmen behoben werden, wie im Umsetzungsplan in der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt durch die verantwortlichen Fachbereiche und den Betrieb.
Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen per Umsetzungsplan überwachen. Die Maßnahmen selbst werden im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung verlangen.
Verbesserungsprogramm
Ein Cybersecurity Programm bei Betreibern zur Behebung der Mängel und Verbesserung der IT-Sicherheit kann dabei helfen, Mängel nachhaltig zu beseitigen. Die Mängel der Prüfungen sollten nach dem Prüfzyklus organisiert behoben werden. Hierbei kann ein strukturiertes Programm helfen, indem es Mängel systematisch beseitigt und Risiken sowie Budget priorisiert.
Mehrjahres-Prüfungen
Die Organisation der KRITIS-Prüfungen sollte von Betreibern strategisch angegangen werden — mit einem langfristigen Programm zur Planung der Nachweisprüfungen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.
Weitere Informationen
Literatur und Links
- Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 24.03.2025, Version 2.1
- Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, 15. August 2024
- Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12. Mai 2023
- Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
- FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik
- Erfolgreich Nachweise einreichen, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Ereignisse über das MIP melden, Bundesamt für Sicherheit in der Informationstechnik, o.D
- Anleitung zur Mängel-Dokumentation in der Mängelliste, Bundesamt für Sicherheit in der Informationstechnik, 19.02.2024