Ergebnisse von Prüfungen

Audit forms symbolic picture

Das Ergebnis von KRITIS-Prüfungen ist eine Einschätzung der IT-Sicherheit in Kritischen Infrastrukturen durch KRITIS-Prüfer. Die Prüfer bewerten die in der Prüfung gewonnenen Erkenntnisse und stellen Abweichungen als Mängel fest. Die Einschätzungen werden im Prüfbericht dokumentiert und vom Betreiber in den offiziellen Nachweis­dokumenten an das BSI berichtet.

  1. Prüfurteil
  2. Nachweise
  3. Einreichung
  4. Nach der Prüfung

Die vom Betreiber eingereichten Nachweise werden durch das BSI geprüft, wobei es zu Rückfragen kommen kann. Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch Cyber Security Maßnahmen behoben werden und können durch Prüfer oder das BSI bis zum oder im nächsten Prüfzyklus erneut getestet werden.

Das Prüfurteil für KRITIS

Bewertung

Während der Prüfhandlungen bewertet das Prüfteam die vorgefundene Situation, sammelt Nachweise und fällt Urteile, bis zum Abschluss des Prüfberichts. Das Prüfurteil des Prüfteams basiert auf identifizierten Abweichungen im Prüfzeitraum, der die Vergangenheit betrachtet. Am Ende steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben.

Mängel und Umsetzungs­plan

Formell testen Prüfer in KRITIS-Prüfungen, ob und wie die gesetzlichen KRITIS-Anforderungen durch Cybersecurity Maßnahmen bei Betreibern umgesetzt sind. Stellen KRITIS-Prüfer im Rahmen der Prüf­handlungen dazu Abweichungen fest, bewerten sie diese in der offiziellen Prüfdokumentation.

In KRITIS-Prüfungen werden die Mängel nach Vorgabe des BSI in Kategorien bewertet:

Die Mängelliste mit dem Umsetzungs­plan enthält als Hauptergebnis der KRITIS-Prüfung die vorgefundenen IT-Sicherheits­mängel, abgestimmten Maßnahmen und Fristen zur Behebung. Die Mängel werden in den eben genannten Kategorien und bewertet.

Die in der Prüfung festgestellten Mängel müssen vom Betreiber zeitnah durch angemessene Verbesserungs­maßnahmen behoben werden, wie im Umsetzungsplan der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt dann durch die verantwortlichen Fachbereiche und den Betrieb.

Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen nach dem Umsetzungs­plan überwachen. Die Maßnahmen werden im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung und vorläufige Maßnahmen verlangen.

Prüfbericht

Das Prüfteam dokumentiert sein Vorgehen in der Prüfung und die Ergebnisse der Prüfungs­handlungen in einem Prüfbericht. Dazu zählen Beobachtungen, Feststellungen (bewertete Mängel und Abweichungen) und eine Einschätzung der IT-Sicherheit in der KRITIS-Anlage. Je nach Berufsstand und Unternehmen haben Berichte unterschiedliche Schwerpunkte.

Der Bericht wird dem BSI nur auf Nachfrage vom Betreiber zur Verfügung gestellt. Es gibt keine definierten Vorgaben an Form und Inhalt der Berichte, ein dokumentiertes Vorgehen in der Prüfung erleichtert die Nachvoll­ziehbarkeit der Prüfung im Unternehmen und für Dritte:

up

Nachweis der Prüfung

Nachweis­dokumente

Die wichtigsten Unterlagen sind die Nachweis­dokumente, in denen Prüfer die Ergebnisse der BSIG-Prüfung eintragen. Die BSI-Formulare sind in zwei Dokumenten mit Anhängen zusammen­gefasst, für die es teilweise Vorlagen vom BSI gibt. Die Dokumente werden in Zusammenarbeit von KRITIS-Prüfer und Betreiber erstellt und vom Betreiber im MIP (Portal) an das BSI übermittelt.

Dokument Inhalt Vorlage Verfasser Einreichung
Nachweisdokument KI Informationen KRITIS-Anlage BSI Betreiber online
Nachweisdokument P Ergebnis Prüfung BSI Prüfer online
Anlage PD.A Geltungsbereich + Netzstrukturplan Betreiber
Anlage PD.B Prüfablauf BSI Prüfer
Anlage PD.C Prüfgrundlage Prüfer
Anlage PE.A Mängelliste BSI Prüfer
Anlage PS.A Nachweis Prüfkompetenz Prüfer
Prüfbericht Dokumentation Prüfvorgehen Prüfer
Nachweise Evidenzen, Protokolle, Logs Prüfer

Die Nachweis­dokumente und Anhänge müssen in Deutsch abgegeben werden; eigene Dokumente der Betreiber und der Prüfbericht können auch Englisch sein.

Nachweisdokument KI

KI enthält die Dokumentation der Kritischen Infrastruktur gemäß § 8a Absatz 3 BSIG, mit Angaben zur geprüften Kritischen Infrastruktur und Ansprechperson (KI.1 bis KI.7), die der KRITIS-Betreiber selbst ausfüllt (PDF vom BSI, wird nun im MIP online ausgefüllt).

Nachweisdokument P

P enthält Angaben zur Prüfung, den wichtigsten Ergebnissen und dem Prüfteam und wird von der prüfenden Stelle gezeichnet und gestempelt (PDF vom BSI, wird nun im MIP online ausgefüllt).

Anlagen und Anhänge

Der Abschnitt P im Online-Formular vom MIP (früher Nachweisdokument P) enthält folgende Anlagen:

Quelle und Texte aus den BSI-Formularen KI und P, Stand 2024, und aus den Hinweisen des BSI, Stand 2025.

up

Einreichung ans BSI

Übermittlung ans BSI

Nach der Prüfung übermitteln Betreiber dem BSI die Ergebnisse elektronisch ans BSI übermittelt über das Melde- und Informationsportal (MIP). Die Einrichtung ist online und formularbasiert.

Es kann nach der Übermittlung der Prüfdokumentation zur Nachfragen des BSI an Prüfer und Betreiber zu formellen Themen, Feststellungen und Maßnahmen kommen. Ebenso kann das BSI im weiteren Verlauf einen Bericht der Umsetzung verlangen. Die Mängelliste und aktualisierte Umsetzungs­ständen muss alle 1-6 Monate ans BSI übermittelt werden.

Bestanden?

Es gibt als Ergebnis von KRITIS-Prüfungen kein Zertifikat durch die Prüfer oder das BSI. Es gibt kein formelles Bestehen der Prüfung und auch keinen Bescheid als zertifizierter KRITIS-Betreiber — die Prüfung dokumentiert lediglich den Ist-Stand im Prüfzeitraum.

Tiefenprüfung

Das BSI kann nach §8a Abs. 4 BSIG ebenfalls von sich aus überprüfen, ob Betreiber KRITIS-Anforderungen des BSIG einhalten. Diese Tiefenprüfung kann das BSI selbst beim Betreiber durchführen oder durch externe Prüfer veranlassen.

up

Nach der Prüfung

Behebung der Mängel

Die in der Prüfung festgestellten Mängel müssen vom Betreiber durch Verbesserungs­maßnahmen behoben werden, wie im Umsetzungsplan in der Mängelliste dokumentiert. Die Umsetzung der Maßnahmen erfolgt durch die verantwortlichen Fachbereiche und den Betrieb.

Die KRITIS-Organisation beim Betreiber sollte die Umsetzung der Maßnahmen per Umsetzungs­plan überwachen. Die Maßnahmen selbst werden im nächsten Prüfzyklus auf Umsetzung geprüft — ebenso kann das BSI einen Bericht zur Umsetzung verlangen.

Verbesserungsprogramm

Ein Cybersecurity Programm bei Betreibern zur Behebung der Mängel und Verbesserung der IT-Sicherheit kann dabei helfen, Mängel nachhaltig zu beseitigen. Die Mängel der Prüfungen sollten nach dem Prüfzyklus organisiert behoben werden. Hierbei kann ein strukturiertes Programm helfen, indem es Mängel systematisch beseitigt und Risiken sowie Budget priorisiert.

Mehrjahres-Prüfungen

Die Organisation der KRITIS-Prüfungen sollte von Betreibern strategisch angegangen werden — mit einem langfristigen Programm zur Planung der Nachweisprüfungen. Ein langfristiges Prüfprogramm strukturiert die Planung und Methodik der Prüfungen über mehrere Jahre und erleichtert die Vorbereitung und Durchführung deutlich.

up

Weitere Informationen

Literatur und Links

  1. Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 24.03.2025, Version 2.1
  2. Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, 15. August 2024
  3. Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12. Mai 2023
  4. Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
  5. FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik
  6. Erfolgreich Nachweise einreichen, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  7. Ereignisse über das MIP melden, Bundesamt für Sicherheit in der Informationstechnik, o.D
  8. Anleitung zur Mängel-Dokumentation in der Mängelliste, Bundesamt für Sicherheit in der Informationstechnik, 19.02.2024