Anforderungen an KRITIS-Prüfungen GAiN & RUN

Audit tools picture

KRITIS-Prüfer müssen in KRITIS-Prüfungen formelle Vorgaben des BSI befolgen: GAiN und RUN. Die grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) definieren BSI-Vorgaben für Prüfungen normativ nach §8a (5) BSIG. Die ab 2025 gültigen RUN-Anforderungen legen normative Reifegrade fest, damit Prüfer die Sicherheitsorganisation bei Betreibern einheitlich bewerten.

  1. Prüfung
  2. Prüfende Stellen
  3. Berichtswesen
  4. Nachweise
  5. Reifegrade

Die GAiN-Anforderungen vom BSI enthalten Vorgaben zur Durchführung der Prüfung (D), zu einzureichenden Nachweisen (N) und zu prüfenden Stellen (P). Die Vorgaben machen bestehende BSI-Anforderungen für Prüfungen formell verbindlich und wurden im August 2024 und März 2025 aktualisiert.

GAiN-Anforderungen

Übersicht Anforderungen

Die grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) definieren verbindliche Vorgaben für KRITIS-Prüfungen nach §8a (5) BSIG, die ab April 2025 verbindlich sind.

Anforderungen an KRITIS-Prüfungen, eigene Zusammenstellung Stand März 2025
Bereich Anforderung ID
Prüfung Allgemeine Anforderungen: KRITIS-Themen und Nachweise D.PA.01, D.PA.02
D.PA.03, D.PA.04
D.PA.05
Vier-Augen-Prinzip: Vorgehen und Dokumentation D.4A.01, D.4A.02
Vorige Prüfungen und alte Mängel D.AM.01
N.AM.02, N.AM.03
Prüfung alte Mängel und aktueller Umsetzungsplan D.AM.02, D.AM.03
D.PE.12
Nutzung bestehender Prüfungen und Zertifikate N.BG.01, N.BG.02
N.BG.03, N.BG.04
N.BG.05, D.AM.04
Prüfende Stellen Unabhängigkeit und objektives Vorgehen P.UP.01, P.UP.02,
P.UP.03
Nachweis Unabhängigkeit Prüfteam N.UP.01
Interne Revisionen P.IR.01, N.IR.01
Berichtswesen Prüfbericht als eigenes Dokument mit vielen Vorgaben D.PE.01, D.PE.02
D.PE.03, D.PE.04
D.PE.05, D.PE.06
D.PE.10
Prüfschritte und Stichproben erklären D.PE.07, D.PE.08
D.PE.09
Bericht an Betreiber und ggf. BSI N.PE.01, D.PE.11
Erklärung Reifegrad kleiner 3 D.PE.13
Nachweise Verbindliche Nutzung der BSI-Vorlagen, auf deutsch N.BN.01, N.BN.02
Nutzung der Nachweisdokumente KI und P N.BN.03, N.BN.04
Einreichung mit allen geforderten Anlagen N.BN.05, N.BN.07
N.BN.08, N.BN.09
Geltungsbereich Anforderungen (G) an Geltungsbereich N.DG.01
Anforderungen (N) an Netzstrukturplan N.DG.02
Bewertung (G) und (N) durch Prüfer N.DG.03

up

Prüfung

Für die Durchführung von Prüfungen und speziell einigen Prüfschritten gibt es verbindliche Anforderungen an die Prüfer: das Vier-Augen-Prinzip und der Umgang mit der Mängelliste und Altmängeln.

Allgemeine Anforderungen

GAiN legt allgemeine Anforderungen an KRITIS-Nachweise und die Durchführung der Prüfung fest:

Vier-Augen

Bestimmte Prüfbereiche und Schritte von KRITIS-Prüfungen müssen in einem 4-Augen-Prinzip durchgeführt werden.

Mängelliste

Der Umgang mit Altmängeln aus früheren KRITIS-Prüfungen wird genauer reglementiert.

Andere Prüfungen und Zertifikate

Werden in der Prüfung Ergebnisse bestehender, anderer Prüfungen und Zertifikate wie ISO 27001, BSI IT-Grundschutz oder C5 genutzt, sind dabei Vorgaben zu beachten.

up

Prüfende Stellen

Einige Vorgaben zu den Prüfern und prüfenden Stellen werden verbindlich gemacht – vor allem zu Formalien und Unabhängigkeit.

up

Berichtswesen

Das Berichtswesen und die Einreichung von Nachweisen wird formeller konkretisiert, sowohl im Prüfbericht der Prüfer als auch den offiziellen Nachweisdokumenten.

Prüfbericht

up

Nachweise und Geltungsbereich

Die BSI-Vorlagen und Dateien zur Nachweiserbringung sind verbindlich zu nutzen, die Inhalte müssen in deutscher Sprache dokumentiert werden. (N.BN.01, N.BN.02)

Formulare

Geltungsbereich

Die Anforderungen an die Dokumentation des Geltungsbereiches und Netzstrukturplan aus der Orientierungshilfe für Nachweise (OH-N) des BSI sind nun nach §8a (5) BSIG auch verbindlich.

Der gesamte Geltungsbereich (PD.A) muss, ausser bei Erstprüfungen, nicht mehr eingereicht werden.

Einreichung

Ab April 2025 werden die Nachweise durch Betreiber nicht mehr mittels Formularen per Mail eingereicht, sondern online im MIP, dem Meldeportal des BSI hochgeladen.

up

RUN-Anforderungen

Reifegrade

Mit der Reife- und Umsetzungsgradbewertung (RUN) hat das BSI verbindlichen Anforderungen für KRITIS-Prüfungen ab April 2025 festgelegt. Im Rahmen von KRITIS-Nachweisprüfungen müssen KRITIS-Prüfer mit RUN in verschiedenen Themenbereichen verbindlich Reifegrade erheben.

Grade: RG und UG

RUN definiert jeweils fünf Reifegrade und fünf Umsetzungsgrade, um die Reife von Managementsystemen und den Umsetzungsstand von Maßnahmen durch Prüfer bewerten zu lassen:

Nr Reifegrad
ISMS, BCMS
Umsetzungsgrad
Einzelne Maßnahmenbereiche
1 Geplant Ohne Maßnahmenumsetzung
2 Gesteuert Einzelmaßnahmen, Teildurchführung
3 Etabliert Maßnahmen umgesetzt, Prozessdurchführung
4 Messbar Maßnahmen umgesetzt, plus Messbarkeit
5 Kontinuierlich verbessert Maßnahmen umgesetzt, plus Verbesserung

Die aktuellen RUN-Vorgaben definieren Kriterien für die Bestimmung der Reifegrade in Kapitel 3 und Umsetzungsgrade in Kapitel 5 für die jeweiligen Themenbereiche. Die dort definierten Mindestmaßnahmen sind Beispiele als Grundlage und nicht abschließend zu verstehen.

Managementsysteme

RUN legt Reifegrade und Mindestniveaus in zwei Gruppen fest: Reifegrade für Managementsysteme und Umsetzungsgrade für Security-Themenbereiche. Bei Managementsystemen müssen Reifegrade von Prozess, Dokumentation und Maßnahmen bewertet werden:

Hinweis: Die Reifegrade von ISMS und BCMS weichen in ihrer Belegung und den geforderten Einzelmaßnahmen teilweise von üblichen Modellen (CMMI) etwas ab.

Security-Themen

Bei technischen und organisatorischen Maßnahmen müssen Umsetzungsgrade bewertet werden, die sich an die Umsetzungsgrade der Angriffserkennung (SzA) anlehnen. RUN legt dafür fachliche Themenbereiche fest, die sich auf die Konkretisierung der Anforderungen beziehen.

Mapping auf Anforderungen

Im separaten RUN-Dokument Anhang: Mapping von Anforderungen werden den einzelnen Themenbereichen (OrgM, PersM, PhyM, TecM) jeweils die einzelnen, bisherigen Anforderungen aus der Konkretisierung der Anforderungen (100-Punkte Liste) zugeordnet, mit Mindest-Umsetzungsgrad.

Beispiel aus dem Mapping:
Asset-Inventar (BSI-5, AM-01) liegt im Bereich Organisatorische Maßnahmen (OrgM) mit definiertem Umsetzungsgrad UG3.

In der Feststellung der Umsetzungsgrade gelten diese Maßnahmen als Beispiel zur Erreichung eines Mindestniveaus, das in der Praxis nicht unterschritten werden sollte. Die Reifegrade von ISMS und BCMS werden nicht einzelnen Anforderungen zugeordnet, sondern sind gesamthaft zu betrachten als Managementsystem und Steuerungsprozess.

Umsetzung

Die Reifegradmessung muss durch die Prüfern im Rahmen der Prüfung durchgeführt werden. Die Bestimmung der Reifegrade muss in verschiedenen Phasen der Prüfung berücksichtigt werden.

up

Weitere Informationen

GAiN

  1. Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 24.03.2025, Version 2.1
  2. KRITIS-Nachweise: Digitaler, einfacher, schneller. Ab dem 01.04.2025 wird der Umfang der Nachweiseinreichung gemäß BSIG und EnWG deutlich reduziert, Bundesamt für Sicherheit in der Informationstechnik, 26.03.2025
  3. Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 19.08.2024, Version 2.0

RUN

  1. Reife- und Umsetzungsgradbewertung (RUN) im Rahmen der Nachweisprüfung, Bundesamt für Sicherheit in der Informationstechnik, 09.01.2025
  2. Mapping von Anforderungen aus der Konkretisierung der KRITIS-Anforderungen auf RUN-Umsetzungsgrade, Bundesamt für Sicherheit in der Informationstechnik, 09.01.2025

Formulare

  1. KRITIS-Nachweise kompakt, alle KRITIS-Nachweise und Nachweise, Bundesamt für Sicherheit in der Informationstechnik, o.D.