Anforderungen an KRITIS-Prüfungen GAiN & RUN
KRITIS-Prüfer müssen in KRITIS-Prüfungen formelle Vorgaben des BSI befolgen: GAiN und RUN. Die grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) definieren BSI-Vorgaben für Prüfungen normativ nach §8a (5) BSIG. Die ab 2025 gültigen RUN-Anforderungen legen normative Reifegrade fest, damit Prüfer die Sicherheitsorganisation bei Betreibern einheitlich bewerten.
Die GAiN-Anforderungen vom BSI enthalten Vorgaben zur Durchführung der Prüfung (D), zu einzureichenden Nachweisen (N) und zu prüfenden Stellen (P). Die Vorgaben machen bestehende BSI-Anforderungen für Prüfungen formell verbindlich und wurden im August 2024 und März 2025 aktualisiert.
GAiN-Anforderungen
Übersicht Anforderungen
Die grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) definieren verbindliche Vorgaben für KRITIS-Prüfungen nach §8a (5) BSIG, die ab April 2025 verbindlich sind.
| Bereich | Anforderung | ID |
|---|---|---|
| Prüfung | Allgemeine Anforderungen: KRITIS-Themen und Nachweise | D.PA.01, D.PA.02 D.PA.03, D.PA.04 D.PA.05 |
| Vier-Augen-Prinzip: Vorgehen und Dokumentation | D.4A.01, D.4A.02 | |
| Vorige Prüfungen und alte Mängel | D.AM.01 N.AM.02, N.AM.03 |
|
| Prüfung alte Mängel und aktueller Umsetzungsplan | D.AM.02, D.AM.03 D.PE.12 |
|
| Nutzung bestehender Prüfungen und Zertifikate | N.BG.01, N.BG.02 N.BG.03, N.BG.04 N.BG.05, D.AM.04 |
|
| Prüfende Stellen | Unabhängigkeit und objektives Vorgehen | P.UP.01, P.UP.02, P.UP.03 |
| Nachweis Unabhängigkeit Prüfteam | N.UP.01 | |
| Interne Revisionen | P.IR.01, N.IR.01 | |
| Berichtswesen | Prüfbericht als eigenes Dokument mit vielen Vorgaben | D.PE.01, D.PE.02 D.PE.03, D.PE.04 D.PE.05, D.PE.06 D.PE.10 |
| Prüfschritte und Stichproben erklären | D.PE.07, D.PE.08 D.PE.09 |
|
| Bericht an Betreiber und ggf. BSI | N.PE.01, D.PE.11 | |
| Erklärung Reifegrad kleiner 3 | D.PE.13 | |
| Nachweise | Verbindliche Nutzung der BSI-Vorlagen, auf deutsch | N.BN.01, N.BN.02 |
| Nutzung der Nachweisdokumente KI und P | N.BN.03, N.BN.04 | |
| Einreichung mit allen geforderten Anlagen | N.BN.05, N.BN.07 N.BN.08, N.BN.09 |
|
| Geltungsbereich | Anforderungen (G) an Geltungsbereich | N.DG.01 |
| Anforderungen (N) an Netzstrukturplan | N.DG.02 | |
| Bewertung (G) und (N) durch Prüfer | N.DG.03 |
Prüfung
Für die Durchführung von Prüfungen und speziell einigen Prüfschritten gibt es verbindliche Anforderungen an die Prüfer: das Vier-Augen-Prinzip und der Umgang mit der Mängelliste und Altmängeln.
Allgemeine Anforderungen
GAiN legt allgemeine Anforderungen an KRITIS-Nachweise und die Durchführung der Prüfung fest:
- Themenbereiche und Ansprechpartner: In der Nachweisprüfung müssen alle Themenbereiche (aus RUN) abgedeckt werden. Beim Betreiber müssen geeignete Ansprechpartner diese Themen beantworten. (D.PA.01 und D.PA.04)
- Prüfmethode: Die Prüfung muss die Themenbereiche mit geeigneten Prüfmethoden und Prüfdauer behandeln. (D.PA.02)
- Standorte: Mehrere Standorte müssen in der Prüfung ausreichend betrachtet werden mit nachvollziehbaren Stichproben. (D.PA.03)
- Risiken: Risiken im Geltungsbereich müssen, wenn möglich und angemessen, nach Stand der Technik behandelt werden, gemäß §8a BSIG (D.PA.05)
Vier-Augen
Bestimmte Prüfbereiche und Schritte von KRITIS-Prüfungen müssen in einem 4-Augen-Prinzip
durchgeführt werden.
- Vorgehen: Entsprechende Themen müssen durch zwei oder mehr Prüfer geprüft werden, die unabhängig voneinander qualifiziert sind, zu eigenständigen Einschätzungen kommen und das betreffende Thema
unmittelbar
prüfen. Werden Themen aufgeteilt, muss das einer Qualitätskontrolle unterliegen; einzelne Prüfer dürfen nicht mehr als ⅔ prüfen. (D.4A.02) - Prüfungsbereiche: In folgenden Themenfeldern und Bereichen von KRITIS-Prüfungen muss das Vier-Augen-Prinzip eingesetzt werden: (D.4A.01)
- Geltungsbereich
- Referenzierte Zertifikate wie ISO/IEC 27001 und deren Abdeckung, Eignung und Relevanz für den KRITIS-Geltungsbereich
- Vorgehen zur Risikoanalyse und -behandlung
- Prüfung der vorigen Mängelliste
- Vor-Ort Prüfungen (Inaugenscheinnahme, Begehung, Beobachtung)
Mängelliste
Der Umgang mit Altmängeln aus früheren KRITIS-Prüfungen wird genauer reglementiert.
- Vorige Prüfungen: Betreiber müssen Prüfer über frühere Prüfungen unterrichten. (D.AM.01)
- Prüfung alter Mängel: Betreiber müssen Prüfer über den Status alter Mängel unterrichten; Prüfer müssen den Umsetzungsstand der alten Mängelliste prüfen und plausibilisieren, die Betreiber diese Liste (alter) Mängel dazu separat aufbereiten. (D.AM.02, D.AM.03)
- Prüfung aktueller Umsetzungsplan: Der Umsetzungsplan der aktuellen Mängelliste muss dem Prüfer zur Verfügung gestellt werden. Prüfer müssen dann die Eignung der geplanten Maßnahmen beurteilen und dies dokumentieren. (D.PE.12)
- Reifegrad: Bei Reifegraden unter 3 muss aus der Mängelliste hervorgehen, warum und welche Mängel dafür verantwortlich sind. (D.PE.13)
- Nachweis: Falls relevant ist eine Bestätigung der Überprüfung voriger Mängel inkl. aktuellem Umsetzungsstatus sind in die aktuellen Nachweise aufzunehmen. Nicht abgeschlossene Altmängel sind in die aktuelle Mängelliste aufzunehmen. (N.AM.02, N.AM.03)
Andere Prüfungen und Zertifikate
Werden in der Prüfung Ergebnisse bestehender, anderer Prüfungen und Zertifikate wie ISO 27001, BSI IT-Grundschutz oder C5 genutzt, sind dabei Vorgaben zu beachten.
- Scope: Werden bestehende Zertifikate in der Prüfung genutzt, müssen Prüfer sicherstellen, dass in SoA und Geltungsbereich keine KRITIS-relevanten Bereiche ausgeschlossen sind. (N.BG.01)
- Risikoanalyse: Prüfer müssen verifizieren, dass KRITIS-Schutzziele in der Risikobetrachtung und Maßnahmen betrachtet werden. (N.BG.02)
- Akzeptanz: Prüfer müssen kontrollieren, dass im Geltungsbereich keine Risiken akzeptiert oder transferiert wurden, für die Maßnahmen nach Stand der Technik möglich wären. (N.BG.03)
- Gültigkeit: Die letzte Prüfung im Zertifikatszeitraum darf nicht älter als 12 Monate sein. (N.BG.04)
- Wirksamkeit: Prüfer müssen die relevanten Kontrollen auf Wirksamkeit prüfen. (N.BG.05)
- Mängel: Prüfer müssen die für KRITIS relevanten Abweichungen der vorigen Prüfungen miteinbeziehen und den aktuellen Stand plausibilisieren, die Mängel dann in die aktuelle Mängelliste ünernehmen. (D.AM.04)
Prüfende Stellen
Einige Vorgaben zu den Prüfern und prüfenden Stellen werden verbindlich gemacht – vor allem zu Formalien und Unabhängigkeit.
- Unabhängigkeit: Die prüfende Stelle und das Prüfteam müssen gegenüber dem Betreiber unternehmensfremd und rechtlich/wirtschaftlich unabhängig sein und bei der Prüfung objektiv vorgehen. (P.UP.01, P.UP.02, N.UP.01)
- Leiter: Die Leitung des Prüfteams muss spätestens nach 3 Zyklen wechseln. (P.UP.03)
- Interne Revisionen dürfen als prüfende Stelle und Prüfer handeln, wenn ein wirksames Revisionssystem vorliegt und die Wirksamkeit durch Einhaltung der Global Internal Audit Standards (IIA) und durch ein Quality Assessment (QA) nach IDW PS 983 oder DIIR Revisionsstandard Nr. 3 nachgewiesen wird. (P.IR.01, N.IR.01)
Berichtswesen
Das Berichtswesen und die Einreichung von Nachweisen wird formeller konkretisiert, sowohl im Prüfbericht der Prüfer als auch den offiziellen Nachweisdokumenten.
Prüfbericht
- Prüfbericht: Prüfer müssen die Ergebnisse der KRITIS-Prüfung in einem Prüfbericht darlegen. Der Bericht muss strukturiert, ohne Widersprüche und nachvollziehbar sein. (D.PE.01, D.PE.02, D.PE.04)
- Formalien: Der Bericht muss in deutsch oder englisch verfasst und klar versioniert sein. (D.PE.03, D.PE.05)
- Informationen: Der Bericht muss mindestens den Geltungsbereich, das Prüfziel, die Zeiten der Prüfung und die Prüfer / prüfende Stelle dokumentieren. (D.PE.06)
- Prüfschritte: Alle Prüfschritte müssen im Bericht nachvollziehbar dokumentiert werden – orientiert am Prüfplan mit Informationen zu den Prüfobjekten und Prüfmethoden. (D.PE.07)
- Stichproben: Prüfer müssen die Auswahl von Stichproben in der Prüfung erklären und bestätigen, dass sich die Stichproben von der vorigen Prüfung unterscheiden. Die Betreiber müssen Prüfern Informationen zu früheren Stichproben und Auswahl zur Verfügung stellen. (D.PE.08, D.PE.09)
- Mängel: Der Prüfbericht muss die Liste der Sicherheitsmängel enthalten. (D.PE.10)
- Betreiber: Prüfer müssen Betreibern den Prüfbericht zur Verfügung stellen. Auf Nachfrage ist der Bericht vom Betreiber dem BSI mit Anhängen zu übermitteln. (N.PE.01, D.PE.11)
Nachweise und Geltungsbereich
Die BSI-Vorlagen und Dateien zur Nachweiserbringung sind verbindlich zu nutzen, die Inhalte müssen in deutscher Sprache dokumentiert werden. (N.BN.01, N.BN.02)
Formulare
- Nachweisdokument KI und Nachweisdokument P zur Dokumentation der Kritischen Infrastruktur und Prüfung (N.BN.03, N.BN.04)
- Der Nachweis muss bei Erstprüfungen die Anlage PD.A (Geltungsbereich) enthalten (N.BN.05)
- Der Nachweis muss die Anlage PE.A (Mängelliste und Umsetzungsplan) enthalten (N.BN.07)
- Der Nachweis muss die Anlage PD.C (Prüfgrundlage) enthalten (N.BN.09)
- Der Nachweis muss nicht die Anlage PS.A (Nachweis Kompentenz) enthalten (N.BN.08)
- Seit 2025 müssen mit GAiN 2.1 nicht mehr regulär eingereicht werden: Prüfplan (PD.B).
Geltungsbereich
Die Anforderungen an die Dokumentation des Geltungsbereiches und Netzstrukturplan aus der Orientierungshilfe für Nachweise (OH-N) des BSI sind nun nach §8a (5) BSIG auch verbindlich.
- Geltungsbereich: Die Dokumentation als Anlage PD.A zum Nachweisdokument P muss die G-Kriterien erfüllen. (N.DG.01)
- Netzstrukturplan: Die Dokumentation vom NSP als Teil der Anlage PD.A zum Nachweisdokument P muss die N-Kriterien erfüllen. (N.DG.02)
- Prüfer: Die G- und N-Kriterien aus N.DG.01 und N.DG.02 müssen vom Prüfer geprüft werden. (N.DG.03)
Der gesamte Geltungsbereich (PD.A) muss, ausser bei Erstprüfungen, nicht mehr eingereicht werden.
Einreichung
Ab April 2025 werden die Nachweise durch Betreiber nicht mehr mittels Formularen per Mail eingereicht, sondern online im MIP, dem Meldeportal des BSI hochgeladen.
- Melde- und Informationsportal (MIP), vom BSI
RUN-Anforderungen
Reifegrade
Mit der Reife- und Umsetzungsgradbewertung (RUN) hat das BSI verbindlichen Anforderungen für KRITIS-Prüfungen ab April 2025 festgelegt. Im Rahmen von KRITIS-Nachweisprüfungen müssen KRITIS-Prüfer mit RUN in verschiedenen Themenbereichen verbindlich Reifegrade erheben.
Grade: RG und UG
RUN definiert jeweils fünf Reifegrade und fünf Umsetzungsgrade, um die Reife von Managementsystemen und den Umsetzungsstand von Maßnahmen durch Prüfer bewerten zu lassen:
| Nr | Reifegrad ISMS, BCMS |
Umsetzungsgrad Einzelne Maßnahmenbereiche |
| 1 | Geplant | Ohne Maßnahmenumsetzung |
| 2 | Gesteuert | Einzelmaßnahmen, Teildurchführung |
| 3 | Etabliert | Maßnahmen umgesetzt, Prozessdurchführung |
| 4 | Messbar | Maßnahmen umgesetzt, plus Messbarkeit |
| 5 | Kontinuierlich verbessert | Maßnahmen umgesetzt, plus Verbesserung |
Die aktuellen RUN-Vorgaben definieren Kriterien für die Bestimmung der Reifegrade in Kapitel 3 und Umsetzungsgrade in Kapitel 5 für die jeweiligen Themenbereiche. Die dort definierten Mindestmaßnahmen sind Beispiele als Grundlage und nicht abschließend zu verstehen.
Managementsysteme
RUN legt Reifegrade und Mindestniveaus in zwei Gruppen fest: Reifegrade für Managementsysteme und Umsetzungsgrade für Security-Themenbereiche. Bei Managementsystemen müssen Reifegrade von Prozess, Dokumentation und Maßnahmen bewertet werden:
- Informationssicherheit (ISMS)
- ISMS ist geplant, Grundlagen fehlen oder sind nur teilweise vorhanden
(Geltungsbereich, Risikomanagement, Dokumentensteuerung, Audits) - ISMS ist gesteuert, teilweise etablierter Prozess
(Geltungsbereich, Strategie und Vorgaben, Risikoanalysen, Steuerung) - ISMS ist etabliert, vollständige Prozesse
(integrierter Prozess mit Schnittstellen, Organisation, Abhängigkeiten) - ISMS ist messbar, Standardprozesse mit Kennzahlen
(vollständig etabliert, Wirksamkeitsmessung, KPIs und Überwachung) - ISMS wird verbessert, Prozesse mit umgesetzten Verbesserungen
(kontinuierliche Weiterentwicklung mit Zielen, Verbesserungen, Revisionen)
- ISMS ist geplant, Grundlagen fehlen oder sind nur teilweise vorhanden
- Business Continuity (BCMS)
- BCMS ist geplant, unvollständige Abdeckung und Prozesse
(Aufbau des Themenbereichs ist geplant, wenig bis keine Festlegungen) - BCMS ist gesteuert, teilweise etablierter Prozess
(Schnittstellen ISMS, Aufrechterhaltung, Krisenmanagement, Pläne) - BCMS ist etabliert, vollständige Prozesse
(integrierter Standardprozess, Nachweise, BC-Risiken, Notfallpläne) - BCMS ist messbar, Standardprozesse mit Kennzahlen
(vollständig etabliert, Wirksamkeit Pläne, Tests und Überwachung) - BCMS wird verbessert, Prozesse mit umgesetzten Verbesserungen
(kontinuierliche Weiterentwicklung, verbesserte Aufrechterhaltung, Revisionen)
- BCMS ist geplant, unvollständige Abdeckung und Prozesse
Hinweis: Die Reifegrade von ISMS und BCMS weichen in ihrer Belegung und den geforderten Einzelmaßnahmen teilweise von üblichen Modellen (CMMI) etwas ab.
Security-Themen
Bei technischen und organisatorischen Maßnahmen müssen Umsetzungsgrade bewertet werden, die sich an die Umsetzungsgrade der Angriffserkennung (SzA) anlehnen. RUN legt dafür fachliche Themenbereiche fest, die sich auf die Konkretisierung der Anforderungen beziehen.
- Organisatorische Maßnahmen (OrgM)
- Personenbezogene Maßnahmen (PersM)
- Physische Maßnahmen (PhyM)
- Technische Maßnahmen (TecM)
- Umsetzungsgrade sind allgemein für alle definiert:
- Ohne bisher erfolgte Maßnahmenumsetzung, nur Planung
- Maßnahmen als Teil von Prozessen umgesetzt
- Maßnahmen umgesetzt im Rahmen eines Managementsystems
- Maßnahmen zur Überprüfung und Messung vorhanden
- Maßnahmen zur Verbesserung von Prozessen und Management
Mapping auf Anforderungen
Im separaten RUN-Dokument Anhang: Mapping von Anforderungen werden den einzelnen Themenbereichen (OrgM, PersM, PhyM, TecM) jeweils die einzelnen, bisherigen Anforderungen aus der Konkretisierung der Anforderungen (100-Punkte Liste) zugeordnet, mit Mindest-Umsetzungsgrad.
Beispiel aus dem Mapping:
Asset-Inventar (BSI-5, AM-01) liegt im Bereich Organisatorische Maßnahmen (OrgM) mit definiertem Umsetzungsgrad UG3.
In der Feststellung der Umsetzungsgrade gelten diese Maßnahmen als Beispiel zur Erreichung eines Mindestniveaus, das in der Praxis nicht unterschritten werden sollte. Die Reifegrade von ISMS und BCMS werden nicht einzelnen Anforderungen zugeordnet, sondern sind gesamthaft zu betrachten als Managementsystem und Steuerungsprozess.
Umsetzung
Die Reifegradmessung muss durch die Prüfern im Rahmen der Prüfung durchgeführt werden. Die Bestimmung der Reifegrade muss in verschiedenen Phasen der Prüfung berücksichtigt werden.
- Planung: Reifegrade werden als zusätzliche Prüfschritte oder Arbeitsvorgänge in die KRITIS-Auditplanung integriert werden – als Ergänzung oder einzelner neuer Block.
- Methodik: Die Bestimmung der Reifegrade muss in die Prüfmethodik integriert werden, um Reifegrade nachweissicher zu erheben und bestimmen.
- Prüfgrundlage: Die Reifegrade und Mapping auf Anforderungen müssen in der Prüfgrundlage integriert und ergänzt werden (bzw. möglicherweise zugeordnet werden zu Anforderungen).
- Betreiber: Schließlich müssen die erhobenen Reifegrade nun formeller und vollständiger mit dem geprüften Betreiber besprochen und in der Dokumentation hinterlegt werden.
Weitere Informationen
GAiN
- Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 24.03.2025, Version 2.1
- KRITIS-Nachweise: Digitaler, einfacher, schneller. Ab dem 01.04.2025 wird der Umfang der Nachweiseinreichung gemäß BSIG und EnWG deutlich reduziert, Bundesamt für Sicherheit in der Informationstechnik, 26.03.2025
- Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 19.08.2024, Version 2.0
RUN
- Reife- und Umsetzungsgradbewertung (RUN) im Rahmen der Nachweisprüfung, Bundesamt für Sicherheit in der Informationstechnik, 09.01.2025
- Mapping von Anforderungen aus der Konkretisierung der KRITIS-Anforderungen auf RUN-Umsetzungsgrade, Bundesamt für Sicherheit in der Informationstechnik, 09.01.2025
Formulare
- KRITIS-Nachweise kompakt, alle KRITIS-Nachweise und Nachweise, Bundesamt für Sicherheit in der Informationstechnik, o.D.