Ergebnisse von Prüfungen

Bewertung

Während der Prüfhandlungen bewertet das Prüfteam die vorgefundene Situation, sammelt Nachweise und fällt Urteile, bis zum Abschluss des Prüfberichts. Das Prüfurteil des Prüfteams basiert auf identifizierten Abweichungen im Prüfzeitraum, der die Vergangenheit betrachtet. Am Ende steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben.

Mängel und Umsetzungs­plan

Formell testen Prüfer in KRITIS-Prüfungen, ob und wie die gesetzlichen KRITIS-Anforderungen durch Cybersecurity Maßnahmen bei Betreibern umgesetzt sind. Stellen KRITIS-Prüfer im Rahmen der Prüf­handlungen dazu Abweichungen fest, bewerten sie diese in der offiziellen Prüfdokumentation.

In KRITIS-Prüfungen werden die Mängel nach Vorgabe des BSI in Kategorien bewertet:

• Schwerwiegende Mängel stellen ein gravierendes, erhebliche Mängel ein großes Risiko dar. Abweichungen müssen zeitnah beseitigt werden, es gibt akuten Handlungsbedarf, da erheblicher Schaden an der kritischen Dienstleistung zu erwarten ist.
  Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert.
• Geringfügiger Mängel stellen ein Risiko ohne akuten Handlungsbedarf dar, die Abweichung muss mittelfristig beseitigt werden.
  Diese Mängel werden im Prüfbericht und in der Mängelliste (PE.A) dokumentiert.
• Empfehlungen sind Verbesserungshinweise zu Sicherheit und Kommentare zu Maßnahmen.
  Die Empfehlungen werden im Prüfbericht dokumentiert, Mängelliste optional.
• Keine Abweichung bedeutet eine Umsetzung der Anforderungen ohne Mangel.
  Dies wird im Prüfbericht dokumentiert.

Die Mängelliste mit dem Umsetzungs­plan enthält als Hauptergebnis der KRITIS-Prüfung die vorgefundenen IT-Sicherheits­mängel, abgestimmten Maßnahmen und Fristen zur Behebung. Die Mängel werden in den eben genannten Kategorien und bewertet.

Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch angemessene Verbesserungs­maßnahmen behoben werden, wie im Umsetzungsplan der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt dann durch die verantwortlichen Fachbereiche und den Betrieb.

Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen nach dem Umsetzungs­plan überwachen. Die Maßnahmen werden im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung und vorläufige Maßnahmen verlangen.

Prüfbericht

Das Prüfteam dokumentiert sein Vorgehen in der Prüfung und die Ergebnisse der Prüfungs­handlungen in einem Prüfbericht. Dazu zählen Beobachtungen, Feststellungen (bewertete Mängel und Abweichungen) und eine Einschätzung der IT-Sicherheit in der KRITIS-Anlage. Je nach Berufsstand und Unternehmen haben Berichte unterschiedliche Schwerpunkte.

Der Bericht wird dem BSI nur auf Nachfrage vom Betreiber zur Verfügung gestellt. Es gibt keine definierten Vorgaben an Form und Inhalt der Berichte, ein dokumentiertes Vorgehen in der Prüfung erleichtert die Nachvoll­ziehbarkeit der Prüfung im Unternehmen und für Dritte:

• Prüfmethodik und Prüfstandard/Prüfgrundlage
• Methodik für Stichproben und Sampling
• Methodik zur Bewertung
• Auswahl von Anlagen, Standorten etc.
• Auswahl von Controls, Schwerpunkten und Nachweisen
• Beschreibung der KRITIS-Anlage, Schwellenwerte
• Dokumentation der Prüfhandlungen
• Dokumentation der Ergebnisse: Abweichungen, Mängel
• Dokumentation der Prüfungen, Termine, Erklärungen
• Einschätzungen, Bewertungen
• etc.

Nachweis­dokumente

Die wichtigsten Unterlagen sind die Nachweis­dokumente, in denen Prüfer die Ergebnisse der BSIG-Prüfung eintragen. Die BSI-Formulare sind in zwei Dokumenten mit Anhängen zusammen­gefasst, für die es teilweise Vorlagen vom BSI gibt. Die Dokumente werden in Zusammenarbeit von KRITIS-Prüfer und Betreiber erstellt und vom Betreiber im MIP (Portal) an das BSI übermittelt.

Die Nachweis­dokumente und Anhänge müssen in Deutsch abgegeben werden; eigene Dokumente der Betreiber und der Prüfbericht können auch Englisch sein.

Nachweisdokument KI

KI enthält die Dokumentation der Kritischen Infrastruktur gemäß § 8a Absatz 3 BSIG, mit Angaben zur geprüften Kritischen Infrastruktur und Ansprechperson (KI.1 bis KI.7), die der KRITIS-Betreiber selbst ausfüllt (PDF vom BSI, wird nun im MIP online ausgefüllt).

Nachweisdokument P

P enthält Angaben zur Prüfung, den wichtigsten Ergebnissen und dem Prüfteam und wird von der prüfenden Stelle gezeichnet und gestempelt (PDF vom BSI, wird nun im MIP online ausgefüllt).

• Allgemeine Angaben zum Betreiber
• Abschnitt PD Durchführung der Prüfung: Angaben zur Art der Prüfung, Prüfgrundlage und Erläterungen, mögliche Zertifizierungen — mit separaten Anlagen PD.A, PD.B und PD.C
• Abschnitt PE Prüfergebnis und Sicherheitsmängel: Einschätzung des Reifegrads von ISMS, BCMS und Angriffserkennung (SzA), Sicherheits­mängel und Umsetzungsplan als Anlage PE.A
• Abschnitt PS Prüfende Stelle: Angaben zur Eignung der prüfenden Stelle und Prüfteam, Unabhängigkeit und Nachweise dafür als separate Anlage PS.A und PS.B

Anlagen und Anhänge

Der Abschnitt P im Online-Formular vom MIP (früher Nachweisdokument P) enthält folgende Anlagen:

• Anlage PD.A: Geltungsbereich und Netzstrukturplan
  Beschreibung und grafische Darstellung des Geltungsbereichs der KRITIS-Anlage — das BSI hat hierzu Anforderungen in der Orientierungshilfe für Nachweise (G01-G13, N01-N10).
  Wird nur noch in der Erstprüfung eingereicht.
• Anlage PD.B: Prüfablauf (Vorlage vom BSI)
  Informationen zum Ablauf der Prüfung mit Prüfthemen, Terminen, Standorten. Die Vorlage muss verwendet werden und vollständig ausgefüllt als Excel-Datei eingereicht werden.
  Wird nicht mehr regulär eingereicht.
• Anlage PD.C: Prüfgrundlage
  Beschreibung der Prüfgrundlage, welche Normen, B3S und Regelwerke verwendet und wie der Stand der Technik in der Prüfung berücksichtigt wurde. Aus der Prüfgrundlage sollte auch hervorgehen, dass die OH SzA berücksichtigt wurde.
• Anlage PE.A: Mängelliste (Vorlage vom BSI)
  Liste der in der Prüfung gefundenen Sicherheitsmängel mit Umsetzungsplan zur Behebung der Mängel — die in geringfügige und schwerwiegende/erhebliche Abweichungen eingeteilt werden. Die Vorlage muss verwendet und vollständig ausgefüllt als Excel-Datei eingereicht werden mit Angaben konkreter Daten zur Mängelbehebung und Status in Prozent.
• Anlage PS.A: Nachweis Prüfverfahrenskompetenz
  oder gleichwertige Kompetenznachweise für Prüfstelle und Prüfteam.
  Wird nicht mehr regulär eingereicht.

Quelle und Texte aus den BSI-Formularen KI und P, Stand 2024, und aus den Hinweisen des BSI, Stand 2025.

Übermittlung ans BSI

Nach der Prüfung übermitteln Betreiber dem BSI die Ergebnisse elektronisch ans BSI übermittelt über das Melde- und Informationsportal (MIP). Die Einrichtung ist online und formularbasiert.

Es kann nach der Übermittlung der Prüfdokumentation zur Nachfragen des BSI an Prüfer und Betreiber zu formellen Themen, Feststellungen und Maßnahmen kommen. Ebenso kann das BSI im weiteren Verlauf einen Bericht der Umsetzung verlangen. Die Mängelliste und aktualisierte Umsetzungs­ständen muss alle 1-6 Monate ans BSI übermittelt werden.

Bestanden?

Es gibt als Ergebnis von KRITIS-Prüfungen kein Zertifikat durch die Prüfer oder das BSI. Es gibt kein formelles Bestehen der Prüfung und auch keinen Bescheid als zertifizierter KRITIS-Betreiber — die Prüfung dokumentiert lediglich den Ist-Stand im Prüfzeitraum.

Tiefenprüfung

Das BSI kann nach §8a Abs. 4 BSIG ebenfalls von sich aus überprüfen, ob Betreiber KRITIS-Anforderungen des BSIG einhalten. Diese Tiefenprüfung kann das BSI selbst beim Betreiber durchführen oder durch externe Prüfer veranlassen.

Behebung der Mängel

Die in der Prüfung festgestellten Mängel müssen vom Betreiber durch Verbesserungs­maßnahmen behoben werden, wie im Umsetzungsplan in der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt durch die verantwortlichen Fachbereiche und den Betrieb.

Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen per Umsetzungs­plan überwachen. Die Maßnahmen selbst werden im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung verlangen.

Verbesserungsprogramm

Ein Cybersecurity Programm bei Betreibern zur Behebung der Mängel und Verbesserung der IT-Sicherheit kann dabei helfen, Mängel nachhaltig zu beseitigen. Die Mängel der Prüfungen sollten nach dem Prüfzyklus organisiert behoben werden. Hierbei kann ein strukturiertes Programm helfen, indem es Mängel systematisch beseitigt und Risiken sowie Budget priorisiert.

Mehrjahres-Prüfungen

Die Organisation der KRITIS-Prüfungen sollte von Betreibern strategisch angegangen werden — mit einem langfristigen Programm zur Planung der Nachweisprüfungen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.

Literatur und Links

1. Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 24.03.2025, Version 2.1
2. Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, 15. August 2024
3. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12. Mai 2023
4. Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
5. FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik
6. Erfolgreich Nachweise einreichen, Bundesamt für Sicherheit in der Informationstechnik, o.D.
7. Ereignisse über das MIP melden, Bundesamt für Sicherheit in der Informationstechnik, o.D
8. Anleitung zur Mängel-Dokumentation in der Mängelliste, Bundesamt für Sicherheit in der Informationstechnik, 19.02.2024