Anforderungen an KRITIS-Prüfungen GAiN & RUN
KRITIS-Prüfer müssen in KRITIS-Prüfungen formelle Vorgaben des BSI befolgen: GAiN und RUN. Die grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) definieren BSI-Vorgaben für Prüfungen normativ nach §8a (5) BSIG. Die ab 2025 gültigen RUN-Anforderungen legen normative Reifegrade fest, damit Prüfer die Sicherheitsorganisation bei Betreibern einheitlich bewerten.
Die Anforderungen bestimmen verbindliche Vorgaben zur Durchführung der Prüfung (D), zu einzureichenden Nachweisen (N) und zu prüfenden Stellen (P). Die Vorgaben sind teilweise neu und machen bestehende BSI-Dokumente und Orientierungshilfen für Prüfungen verbindlich. Die GAiN-Anforderungen wurden im August 2024 aktualisiert.
GAiN-Anforderungen
Übersicht Anforderungen
Die grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) definieren verbindliche Vorgaben für KRITIS-Prüfungen nach §8a (5) BSIG, die ab 2024 und 2025 verbindlich sind.
| Bereich | Anforderung | ab | ID |
|---|---|---|---|
| Prüfung | Vier-Augen-Prinzip: Vorgehen und Dokumentation | 2024 | D.4A.01, D.4A.02 |
| Vorige Prüfungen und alte Mängel | 2024 | D.AM.01 N.AM.02, N.AM.03 |
|
| Prüfung alte Mängel und aktueller Umsetzungsplan | 2024 2025 |
D.AM.02, D.AM.03 D.PE.12 |
|
| Nutzung bestehender Prüfungen und Zertifikate | 2025 | N.BG.01, N.BG.02 N.BG.03, N.BG.04 N.BG.05, D.AM.04 |
|
| Prüfende Stellen | Unabhängigkeit und objektives Vorgehen | 2024 | P.UP.01, P.UP.02 |
| 2025 | P.UP.03 | ||
| Nachweis Unabhängigkeit Prüfteam | 2024 | N.UP.01 | |
| Interne Revisionen | 2024 2025 |
P.IR.01, N.IR.01 | |
| Berichtswesen | Prüfbericht als eigenes Dokument mit vielen Vorgaben | 2024 | D.PE.01, D.PE.02 D.PE.03, D.PE.04 D.PE.05, D.PE.06 D.PE.10 |
| Prüfschritte und Stichproben erklären | 2024 | D.PE.07, D.PE.08 D.PE.09 |
|
| Bericht an Betreiber und ggf. BSI | 2024 | N.PE.01, D.PE.11 | |
| Erklärung Reifegrad kleiner 3 | 2025 | D.PE.13 | |
| Nachweise | Verbindliche Nutzung der BSI-Vorlagen, auf deutsch | 2024 | N.BN.01, N.BN.02 |
| Nutzung der Nachweisdokumente KI und P | 2024 | N.BN.03, N.BN.04 | |
| Einreichung mit allen geforderten Anlagen | 2024 | N.BN.05, N.BN.06, N.BN.07, N.BN.08 N.BN.09, N.BN.10 |
|
| Geltungsbereich | Anforderungen (G) an Geltungsbereich verbindlich | 2024 2025 |
N.DG.01 |
| Anforderungen (N) an Netzstrukturplan verbindlich | 2024 2025 |
N.DG.02 | |
| Umsetzung der Prüfer bewerten | 2025 | N.DG.03 |
Prüfung
Für die Durchführung von Prüfungen und speziell einigen Prüfschritten gibt es verbindliche Anforderungen an die Prüfer: das Vier-Augen-Prinzip und der Umgang mit der Mängelliste und Altmängeln.
Vier-Augen
Bestimmte Prüfbereiche und Schritte von KRITIS-Prüfungen müssen in einem 4-Augen-Prinzip
durchgeführt werden.
- Vorgehen: Entsprechende Themen müssen durch zwei oder mehr Prüfer geprüft werden, die unabhängig voneinander qualifiziert sind, zu eigenständigen Einschätzungen kommen und das betreffende Thema
unmittelbar
prüfen. Werden Themen aufgeteilt, muss das einer Qualitätskontrolle unterliegen; einzelne Prüfer dürfen nicht mehr als ⅔ prüfen. (D.4A.02) - Prüfungsbereiche: In folgenden Themenfeldern und Bereichen von KRITIS-Prüfungen muss das Vier-Augen-Prinzip eingesetzt werden: (D.4A.01)
- Geltungsbereich
- Referenzierte Zertifikate wie ISO/IEC 27001 und deren Abdeckung, Eignung und Relevanz für den KRITIS-Geltungsbereich
- Vorgehen zur Risikoanalyse und -behandlung
- Prüfung der vorigen Mängelliste
- Vor-Ort Prüfungen (Inaugenscheinnahme, Begehung, Beobachtung)
- Dokumentation: Themen, die im Vier-Augen-Prinzip geprüft wurden, müsen im Prüfplan gekennzeichnet werden, inklusive der Prüfer und zeitlichen Aufteilung. (N.4A.01)
Mängelliste
Der Umgang mit Altmängeln aus früheren KRITIS-Prüfungen wird genauer reglementiert.
- Vorige Prüfungen: Betreiber müssen Prüfer über frühere Prüfungen unterrichten. (D.AM.01)
- Prüfung alter Mängel: Betreiber müssen Prüfer über den Status alter Mängel unterrichten; Prüfer müssen den Umsetzungsstand der alten Mängelliste prüfen und plausibilisieren, die Betreiber diese Liste (alter) Mängel dazu separat aufbereiten. (D.AM.02, D.AM.03)
- Prüfung aktueller Umsetzungsplan: Der Umsetzungsplan der aktuellen Mängelliste muss dem Prüfer zur Verfügung gestellt werden. Prüfer müssen dann die Eignung der geplanten Maßnahmen beurteilen und dies dokumentieren. (D.PE.12)
- Reifegrad: Bei Reifegraden unter 3 muss aus der Mängelliste hervorgehen, warum und welche Mängel dafür verantwortlich sind. (D.PE.13) 2025
- Nachweis: Falls relevant ist eine Bestätigung der Überprüfung voriger Mängel inkl. aktuellem Umsetzungsstatus sind in die aktuellen Nachweise aufzunehmen. Nicht abgeschlossene Altmängel sind in die aktuelle Mängelliste aufzunehmen. (N.AM.02, N.AM.03)
Andere Prüfungen und Zertifikate
Werden in der Prüfung Ergebnisse bestehender, anderer Prüfungen und Zertifikate wie ISO 27001, BSI IT-Grundschutz oder C5 genutzt, sind dabei Vorgaben zu beachten.
- Geltungsbereich: Werden bestehende Zertifikate in der Prüfung genutzt, müssen Prüfer sicherstellen, dass in SoA und Geltungsbereich keine KRITIS-relevanten Bereiche ausgeschlossen sind. (N.BG.01) 2025
- Risikoanalyse: Prüfer müssen verifizieren, dass KRITIS-Schutzziele in der Risikobetrachtung und Maßnahmen betrachtet werden. (N.BG.02) 2025
- Akzeptanz: Prüfer müssen kontrollieren, dass im Geltungsbereich keine Risiken akzeptiert wurden, für die Maßnahmen nach Stand der Technik möglich wären, und keine Risiken transferiert wurden (N.BG.03) 2025
- Gültigkeit: Die letzte Prüfung im Zertifikatszeitraum darf nicht älter als 12 Monate sein. (N.BG.04) 2025
- Wirksamkeit: Prüfer müssen die relevanten Kontrollen auf Wirksamkeit prüfen. (N.BG.05)
- Mängel: Prüfer müssen die für KRITIS relevanten Abweichungen der vorigen Prüfungen miteinbeziehen und den aktuellen Stand plausibilisieren, die Mängel dann in die aktuelle Mängelliste ünernehmen. (D.AM.04)
Prüfende Stellen
Einige Vorgaben zu den Prüfern und prüfenden Stellen werden verbindlich gemacht – vor allem zu Formalien und Unabhängigkeit.
- Unabhängigkeit: Die prüfende Stelle und das Prüfteam müssen gegenüber dem Betreiber unternehmensfremd und rechtlich/wirtschaftlich unabhängig sein und bei der Prüfung objektiv vorgehen. (P.UP.01, P.UP.02, N.UP.01)
- Leiter: Die Leitung des Prüfteams muss spätestens nach 3 Zyklen wechseln. (P.UP.03) 2025
- Interne Revisionen dürfen als prüfende Stelle und Prüfer handeln, wenn ein wirksames Revisionssystem vorliegt und die Wirksamkeit durch Einhaltung der Global Internal Audit Standards und durch ein Quality Assessment (QA) nach IDW PS 983 oder DIIR Revisionsstandard Nr. 3 nachgewiesen wird. (P.IR.01, N.IR.01)
Berichtswesen
Das Berichtswesen und die Einreichung von Nachweisen wird formeller konkretisiert, sowohl im Prüfbericht der Prüfer als auch den offiziellen Nachweisdokumenten.
Prüfbericht
- Prüfbericht: Prüfer müssen die Ergebnisse der KRITIS-Prüfung in einem Prüfbericht als eigenständiges Dokument darlegen. Der Bericht muss strukturiert, ohne Widersprüche sein, als auch nachvollziehbare Ergebnisse enthalten. (D.PE.01, D.PE.02, D.PE.04)
- Formalien: Der Bericht muss in deutsch oder englisch verfasst und klar versioniert und bezeichnet sein. (D.PE.03, D.PE.05)
- Informationen: Der Bericht muss mindestens den Geltungsbereich, das Prüfziel, die Zeiten der Prüfung und die Prüfer / prüfende Stelle dokumentieren. (D.PE.06)
- Prüfschritte: Alle Prüfschritte müssen im Bericht nachvollziehbar dokumentiert werden – orientiert am Prüfplan. Der Bericht muss insbesondere Informationen zu den Prüfobjekten und Prüfmethoden umfassen. (D.PE.07)
- Stichproben: Prüfer müssen die Auswahl von Stichproben in der Prüfung erklären und bestätigen, dass sich die Stichproben von der vorigen Prüfung unterscheiden. Die Betreiber müssen den Prüfern deshalb Informationen zu früheren Stichproben und deren Auswahl zur Verfügung stellen. (D.PE.08, D.PE.09)
- Mängel: Der Prüfbericht muss die Liste der Sicherheitsmängel enthalten. (D.PE.10)
- Betreiber: Prüfer müssen Betreibern den Prüfbericht zur Verfügung stellen. Auf Nachfrage ist der Bericht vom Betreiber dem BSI mit Anhängen zu übermitteln. (N.PE.01, D.PE.11)
Nachweise und Geltungsbereich
Die BSI-Vorlagen und Dateien zur Nachweiserbringung sind verbindlich zu nutzen, die Inhalte müssen in deutscher Sprache dokumentiert werden. (N.BN.01, N.BN.02)
Formulare
- Nachweisdokument KI und Nachweisdokument P zur Dokumentation der Kritischen Infrastruktur und Prüfung (N.BN.03, N.BN.04)
- Der Nachweis muss die Anlage PD.A (Geltungsbereich) enthalten (N.BN.05)
- Der Nachweis muss die Anlage PD.B (Prüfplan) und Anlage PE.A (Mängelliste und Umsetzungsplan) enthalten (N.BN.06, N.BN.07)
- Der Nachweis muss die Anlage PD.C (Prüfgrundlage) enthalten (N.BN.09)
- Der Nachweis muss die Anlage PS.A (Nachweis Kompentenz) enthalten (N.BN.08)
- Bei Zusatzprüfungen muss die Anlage PD.B (Prüfplan) abgedeckte Themen und Prüfmethodik erklären (N.BN.10)
Geltungsbereich
Die Anforderungen an die Dokumentation des Geltungsbereiches und Netzstrukturplan aus der Orientierungshilfe für Nachweise (OH-N) des BSI sind nun nach §8a (5) BSIG auch verbindlich.
- Geltungsbereich: Die Dokumentation als Anlage PD.A zum Nachweisdokument P muss die G-Kriterien erfüllen. (N.DG.01)
- Netzstrukturplan: Die Dokumentation vom NSP als Teil der Anlage PD.A zum Nachweisdokument P muss die N-Kriterien erfüllen. (N.DG.02)
- Prüfer: Die G- und N-Kriterien aus N.DG.01 und N.DG.02 müssen vom Prüfer geprüft werden. (N.DG.03) 2025
RUN-Anforderungen
Reifegrade ab April 2025
Mit der Reife- und Umsetzungsgradbewertung (RUN) hat das BSI verbindlichen Anforderungen für KRITIS-Prüfungen ab April 2025 festgelegt. Im Rahmen von KRITIS-Nachweisprüfungen müssen KRITIS-Prüfer mit RUN in verschiedenen Themenbereichen verbindlich Reifegrade erheben.
Reifegrade
RUN definiert jeweils fünf Reifegrade und fünf Umsetzungsgrade, um die Reife von Managementsystemen und den Umsetzungsstand von Maßnahmen durch Prüfer bewerten zu lassen:
| Nr | Reifegrad ISMS, BCMS |
Umsetzungsgrad Einzelne Maßnahmenbereiche |
| 1 | Geplant | Ohne Maßnahmenumsetzung |
| 2 | Gesteuert | Einzelmaßnahmen, Teildurchführung |
| 3 | Etabliert | Maßnahmen umgesetzt, Prozessdurchführung |
| 4 | Messbar | Maßnahmen umgesetzt, plus Messbarkeit |
| 5 | Kontinuierlich verbessert | Maßnahmen umgesetzt, plus Verbesserung |
Die aktuellen RUN-Vorgaben definieren Kriterien für die Bestimmung der Reifegrade in Kapitel 3 und Umsetzungsgrade in Kapitel 5 für die jeweiligen Themenbereiche. Die dort definierten Mindestmaßnahmen sind Beispiele als Grundlage und nicht abschließend zu verstehen.
Themenbereiche
RUN legt Reifegrade und Mindestniveaus in zwei Gruppen fest: Reifegrade für Managementsysteme und Umsetzungsgrade für Security-Themenbereiche. Bei Managementsystemen müssen Reifegrade von Prozess, Dokumentation und Maßnahmen bewertet werden:
- Informationssicherheit (ISMS)
- ISMS ist geplant, viele Grundlagen fehlen bzw. sind nur teilweise vorhanden
(Geltungsbereich, Risikomanagement, Dokumentensteuerung, Audits) - ISMS ist gesteuert, teilweise etablierter Prozess
(Geltungsbereich, Strategie und Vorgaben, Risikoanalysen, Steuerung) - ISMS ist etabliert, vollständige Prozesse
(integrierter Prozess mit Schnittstellen, Organisation, Abhängigkeiten) - ISMS ist messbar, Standardprozesse mit Kennzahlen
(vollständig etabliert, Wirksamkeitsmessung, KPIs und Überwachung) - ISMS wird verbessert, Prozesse mit umgesetzten Verbesserungen
(kontinuierliche Weiterentwicklung mit Zielen, Verbesserungen, Revisionen)
- ISMS ist geplant, viele Grundlagen fehlen bzw. sind nur teilweise vorhanden
- Business Continuity (BCMS)
- BCMS ist geplant, unvollständige Abdeckung und Prozesse
(Aufbau des Themenbereichs ist geplant, wenig bis keine Festlegungen) - BCMS ist gesteuert, teilweise etablierter Prozess
(Schnittstellen ISMS, Aufrechterhaltung, Krisenmanagement, Pläne) - BCMS ist etabliert, vollständige Prozesse
(integrierter Standardprozess, Nachweise, BC-Risiken, Notfallpläne) - BCMS ist messbar, Standardprozesse mit Kennzahlen
(vollständig etabliert, Wirksamkeit Pläne, Tests und Überwachung) - BCMS wird verbessert, Prozesse mit umgesetzten Verbesserungen
(kontinuierliche Weiterentwicklung, verbesserte Aufrechterhaltung, Revisionen)
- BCMS ist geplant, unvollständige Abdeckung und Prozesse
Hinweis: Die Reifegrade von ISMS und BCMS weichen in ihrer Belegung und den geforderten Einzelmaßnahmen teilweise von üblichen Modellen (CMMI) etwas ab.
Bei technischen und organisatorischen Maßnahmen müssen Umsetzungsgrade bewertet werden, die sich an die Umsetzungsgrade der Angriffserkennung (SzA) anlehnen. RUN legt dafür fachliche Themenbereiche fest, die sich auf die Konkretisierung der Anforderungen beziehen.
- Organisatorische Maßnahmen (OrgM)
- Personenbezogene Maßnahmen (PersM)
- Physische Maßnahmen (PhyM)
- Technische Maßnahmen (TecM)
- Umsetzungsgrade sind allgemein für alle definiert:
- Ohne bisher erfolgte Maßnahmenumsetzung, nur Planung
- Maßnahmen als Teil von Prozessen umgesetzt
- Maßnahmen umgesetzt im Rahmen eines Managementsystems
- Maßnahmen zur Überprüfung und Messung vorhanden
- Maßnahmen zur Verbesserung von Prozessen und Management
Mapping auf Anforderungen
Im separaten RUN-Dokument Anhang: Mapping von Anforderungen werden den einzelnen Themenbereichen (OrgM, PersM, PhyM, TecM) jeweils die einzelnen, bisherigen Anforderungen aus der Konkretisierung der Anforderungen (100-Punkte Liste) zugeordnet, mit Mindest-Umsetzungsgrad.
Beispiel aus dem Mapping:
Asset-Inventar (BSI-5, AM-01) liegt im Bereich Organisatorische Maßnahmen (OrgM) mit definiertem Umsetzungsgrad UG3.
In der Feststellung der Umsetzungsgrade gelten diese Maßnahmen als Beispiel zur Erreichung eines Mindestniveaus, das in der Praxis nicht unterschritten werden sollte. Die Reifegrade von ISMS und BCMS werden nicht einzelnen Anforderungen zugeordnet, sondern sind gesamthaft zu betrachten als Managementsystem und Steuerungsprozess.
Umsetzung
Die Verantwortung zur Nutzung dieser Reifegradmessung liegt primär bei den durchführenden Prüfern. Die Bestimmung der Reifegrade muss in verschiedenen Phasen der Prüfung berücksichtigt werden.
- Planung: Reifegrade werden als zusätzliche Prüfschritte oder Arbeitsvorgänge in die KRITIS-Auditplanung integriert werden – als Ergänzung oder einzelner neuer Block.
- Methodik: Die Bestimmung der Reifegrade muss in die Prüfmethodik integriert werden, um Reifegrade nachweissicher zu erheben und bestimmen.
- Prüfgrundlage: Die Reifegrade und ihr Mapping auf Anforderungen müssen in der Prüfgrundlage (fachlich) integriert und ergänzt werden (bzw. möglicherweise zugeordnet werden zu Anforderungen).
- Betreiber: Schließlich müssen die erhobenen Reifegrade nun formeller und vollständiger mit dem geprüften Betreiber besprochen und in der Dokumentation hinterlegt werden.
Weitere Informationen
GAiN
- Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 19.08.2024, Version 2.0
RUN
- Reife- und Umsetzungsgradbewertung (RUN) im Rahmen der Nachweisprüfung, Bundesamt für Sicherheit in der Informationstechnik, 09.01.2025
- Mapping von Anforderungen aus der Konkretisierung der KRITIS-Anforderungen auf RUN-Umsetzungsgrade, Bundesamt für Sicherheit in der Informationstechnik, 09.01.2025
Formulare
- KRITIS-Nachweise kompakt, alle KRITIS-Nachweise und Nachweise, Bundesamt für Sicherheit in der Informationstechnik, o.D.