Anforderungen an KRITIS-Prüfungen (GAiN)
Das BSI hat 2024 aktualisierte Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) basieren auf §8a (5) BSIG und definieren BSI-Vorgaben für KRITIS-Prüfungen nun normativ. Erwartungen und Parameter für Prüfungen werden damit klarer und vor allem gesetzlich verbindlich – und ist größtenteils durch die KRITIS-Prüfer umzusetzen.
Die Anforderungen bestimmen verbindliche Vorgaben zur Durchführung der Prüfung (D), zu einzureichenden Nachweisen (N) und zu prüfenden Stellen (P). Die Vorgaben sind teilweise neu und machen bestehende BSI-Dokumente und Orientierungshilfen für Prüfungen verbindlich. Die GAiN-Anforderungen wurden im August 2024 aktualisiert.
| Bereich | Anforderung | Neu | ID |
|---|---|---|---|
| Prüfung | Vier-Augen-Prinzip: Vorgehen und Dokumentation | - | D.4A.01, D.4A.02 |
| Vorige Prüfungen und alte Mängel | - | D.AM.01 N.AM.02, N.AM.03 |
|
| Prüfung alte Mängel und aktueller Umsetzungsplan | tw. | D.AM.02, D.AM.03 D.PE.12 |
|
| Nutzung bestehender Prüfungen und Zertifikate | 2025 | N.BG.01, N.BG.02 N.BG.03, N.BG.04 N.BG.05, D.AM.04 |
|
| Prüfende Stellen | Unabhängigkeit und objektives Vorgehen | - | P.UP.01, P.UP.02 |
| 2025 | P.UP.03 | ||
| Nachweis Unabhängigkeit Prüfteam | - | N.UP.01 | |
| Interne Revisionen | tw. | P.IR.01, N.IR.01 | |
| Berichtswesen | Prüfbericht als eigenes Dokument mit vielen Vorgaben | - | D.PE.01, D.PE.02 D.PE.03, D.PE.04 D.PE.05, D.PE.06 D.PE.10 |
| Prüfschritte und Stichproben erklären | - | D.PE.07, D.PE.08 D.PE.09 |
|
| Bericht an Betreiber und ggf. BSI | - | N.PE.01, D.PE.11 | |
| Erklärung Reifegrad kleiner 3 | 2025 | D.PE.13 | |
| Nachweise | Verbindliche Nutzung der BSI-Vorlagen, auf deutsch | - | N.BN.01, N.BN.02 |
| Nutzung der Nachweisdokumente KI und P | - | N.BN.03, N.BN.04 | |
| Einreichung mit allen geforderten Anlagen | - | N.BN.05, N.BN.06, N.BN.07, N.BN.08 N.BN.09, N.BN.10 |
|
| Geltungsbereich | Anforderungen (G) an Geltungsbereich verbindlich | tw. | N.DG.01 |
| Anforderungen (N) an Netzstrukturplan verbindlich | tw. | N.DG.02 | |
| Umsetzung der Prüfer bewerten | 2025 | N.DG.03 |
Anforderungen nach §8a (5) BSIG
Neuerungen 2024
Die Aktualisierung der GAiN-Anforderungen im August 2024 enthielt folgende Neuerungen:
- Umgang mit Zertifizierungen: Ein ganzer Block an Anforderungen regelt den Umgang bei der Nutzung bestehender Zertifizierungen und Prüfugen genauer: Geltungsbereich, SoA, Mängel
- Geltungsbereich und Netzstrukturplan: Anforderungen an GBD und NSP wurden angepasst und erweitert, und sind nun verbindlich vom Prüfer zu bewerten
- Mängel und Mängelliste: Umgang mit Mängeln, Reifegraden unter 3 und alten Mängel voriger Prüfungen wurde konkretisiert
- Vorlagen: Die Formulare und Vorlagen des BSI wurden auch aktualisiert und sind nun verbindlich(er) zu nutzen
- Sonst noch einige Formalien
Prüfung
Für die Durchführung von Prüfungen und speziell einigen Prüfschritten gibt es verbindliche Anforderungen an die Prüfer: das Vier-Augen-Prinzip und der Umgang mit der Mängelliste und Altmängeln.
Vier-Augen
Bestimmte Prüfbereiche und Schritte von KRITIS-Prüfungen müssen in einem 4-Augen-Prinzip
durchgeführt werden.
- Vorgehen: Entsprechende Themen müssen durch zwei oder mehr Prüfer geprüft werden, die unabhängig voneinander qualifiziert sind, zu eigenständigen Einschätzungen kommen und das betreffende Thema
unmittelbar
prüfen. Werden Themen aufgeteilt, muss das einer Qualitätskontrolle unterliegen; einzelne Prüfer dürfen nicht mehr als ⅔ prüfen. (D.4A.02) - Prüfungsbereiche: In folgenden Themenfeldern und Bereichen von KRITIS-Prüfungen muss das Vier-Augen-Prinzip eingesetzt werden: (D.4A.01)
- Geltungsbereich
- Referenzierte Zertifikate wie ISO/IEC 27001 und deren Abdeckung, Eignung und Relevanz für den KRITIS-Geltungsbereich
- Vorgehen zur Risikoanalyse und -behandlung
- Prüfung der vorigen Mängelliste
- Vor-Ort Prüfungen (Inaugenscheinnahme, Begehung, Beobachtung)
- Dokumentation: Themen, die im Vier-Augen-Prinzip geprüft wurden, müsen im Prüfplan gekennzeichnet werden, inklusive der Prüfer und zeitlichen Aufteilung. (N.4A.01)
Mängelliste
Der Umgang mit Altmängeln aus früheren KRITIS-Prüfungen wird genauer reglementiert.
- Vorige Prüfungen: Betreiber müssen Prüfer über frühere Prüfungen unterrichten. (D.AM.01)
- Prüfung alter Mängel: Betreiber müssen Prüfer über den Status alter Mängel unterrichten; Prüfer müssen den Umsetzungsstand der alten Mängelliste prüfen und plausibilisieren, die Betreiber diese Liste (alter) Mängel dazu separat aufbereiten. (D.AM.02, D.AM.03)
- Prüfung aktueller Umsetzungsplan: Der Umsetzungsplan der aktuellen Mängelliste muss dem Prüfer zur Verfügung gestellt werden. Prüfer müssen dann die Eignung der geplanten Maßnahmen beurteilen und dies dokumentieren. (D.PE.12)
- Reifegrad: Bei Reifegraden unter 3 muss aus der Mängelliste hervorgehen, warum und welche Mängel dafür verantwortlich sind. (D.PE.13) 2025
- Nachweis: Falls relevant ist eine Bestätigung der Überprüfung voriger Mängel inkl. aktuellem Umsetzungsstatus sind in die aktuellen Nachweise aufzunehmen. Nicht abgeschlossene Altmängel sind in die aktuelle Mängelliste aufzunehmen. (N.AM.02, N.AM.03)
Andere Prüfungen und Zertifikate
Werden in der Prüfung Ergebnisse bestehender, anderer Prüfungen und Zertifikate wie ISO 27001, BSI IT-Grundschutz oder C5 genutzt, sind dabei Vorgaben zu beachten.
- Geltungsbereich: Werden bestehende Zertifikate in der Prüfung genutzt, müssen Prüfer sicherstellen, dass in SoA und Geltungsbereich keine KRITIS-relevanten Bereiche ausgeschlossen sind. (N.BG.01) 2025
- Risikoanalyse: Prüfer müssen verifizieren, dass KRITIS-Schutzziele in der Risikobetrachtung und Maßnahmen betrachtet werden. (N.BG.02) 2025
- Akzeptanz: Prüfer müssen kontrollieren, dass im Geltungsbereich keine Risiken akzeptiert wurden, für die Maßnahmen nach Stand der Technik möglich wären, und keine Risiken transferiert wurden (N.BG.03) 2025
- Gültigkeit: Die letzte Prüfung im Zertifikatszeitraum darf nicht älter als 12 Monate sein. (N.BG.04) 2025
- Wirksamkeit: Prüfer müssen die relevanten Kontrollen auf Wirksamkeit prüfen. (N.BG.05)
- Mängel: Prüfer müssen die für KRITIS relevanten Abweichungen der vorigen Prüfungen miteinbeziehen und den aktuellen Stand plausibilisieren, die Mängel dann in die aktuelle Mängelliste ünernehmen. (D.AM.04)
Prüfende Stellen
Einige Vorgaben zu den Prüfern und prüfenden Stellen werden verbindlich gemacht – vor allem zu Formalien und Unabhängigkeit.
- Unabhängigkeit: Die prüfende Stelle und das Prüfteam müssen gegenüber dem Betreiber unternehmensfremd und rechtlich/wirtschaftlich unabhängig sein und bei der Prüfung objektiv vorgehen. (P.UP.01, P.UP.02, N.UP.01)
- Leiter: Die Leitung des Prüfteams muss spätestens nach 3 Zyklen wechseln. (P.UP.03) 2025
- Interne Revisionen dürfen als prüfende Stelle und Prüfer handeln, wenn ein wirksames Revisionssystem vorliegt und die Wirksamkeit durch Einhaltung der Global Internal Audit Standards und durch ein Quality Assessment (QA) nach IDW PS 983 oder DIIR Revisionsstandard Nr. 3 nachgewiesen wird. (P.IR.01, N.IR.01)
Berichtswesen
Das Berichtswesen und die Einreichung von Nachweisen wird formeller konkretisiert, sowohl im Prüfbericht der Prüfer als auch den offiziellen Nachweisdokumenten.
Prüfbericht
- Prüfbericht: Prüfer müssen die Ergebnisse der KRITIS-Prüfung in einem Prüfbericht als eigenständiges Dokument darlegen. Der Bericht muss strukturiert, ohne Widersprüche sein, als auch nachvollziehbare Ergebnisse enthalten. (D.PE.01, D.PE.02, D.PE.04)
- Formalien: Der Bericht muss in deutsch oder englisch verfasst und klar versioniert und bezeichnet sein. (D.PE.03, D.PE.05)
- Informationen: Der Bericht muss mindestens den Geltungsbereich, das Prüfziel, die Zeiten der Prüfung und die Prüfer / prüfende Stelle dokumentieren. (D.PE.06)
- Prüfschritte: Alle Prüfschritte müssen im Bericht nachvollziehbar dokumentiert werden – orientiert am Prüfplan. Der Bericht muss insbesondere Informationen zu den Prüfobjekten und Prüfmethoden umfassen. (D.PE.07)
- Stichproben: Prüfer müssen die Auswahl von Stichproben in der Prüfung erklären und bestätigen, dass sich die Stichproben von der vorigen Prüfung unterscheiden. Die Betreiber müssen den Prüfern deshalb Informationen zu früheren Stichproben und deren Auswahl zur Verfügung stellen. (D.PE.08, D.PE.09)
- Mängel: Der Prüfbericht muss die Liste der Sicherheitsmängel enthalten. (D.PE.10)
- Betreiber: Prüfer müssen Betreibern den Prüfbericht zur Verfügung stellen. Auf Nachfrage ist der Bericht vom Betreiber dem BSI mit Anhängen zu übermitteln. (N.PE.01, D.PE.11)
Nachweise und Formulare
Die BSI-Vorlagen und Dateien zur Nachweiserbringung sind verbindlich zu nutzen, die Inhalte müssen in deutscher Sprache dokumentiert werden. (N.BN.01, N.BN.02)
- Nachweisdokument KI und Nachweisdokument P zur Dokumentation der Kritischen Infrastruktur und Prüfung (N.BN.03, N.BN.04)
- Der Nachweis muss die Anlage PD.A (Geltungsbereich) enthalten (N.BN.05)
- Der Nachweis muss die Anlage PD.B (Prüfplan) und Anlage PE.A (Mängelliste und Umsetzungsplan) enthalten (N.BN.06, N.BN.07)
- Der Nachweis muss die Anlage PD.C (Prüfgrundlage) enthalten (N.BN.09)
- Der Nachweis muss die Anlage PS.A (Nachweis Kompentenz) enthalten (N.BN.08)
- Bei Zusatzprüfungen muss die Anlage PD.B (Prüfplan) abgedeckte Themen und Prüfmethodik erklären (N.BN.10)
Geltungsbereich
Die Anforderungen an die Dokumentation des Geltungsbereiches und Netzstrukturplan aus der Orientierungshilfe für Nachweise (OH-N) des BSI sind nun nach §8a (5) BSIG auch verbindlich.
- Geltungsbereich: Die Dokumentation als Anlage PD.A zum Nachweisdokument P muss die G-Kriterien erfüllen. (N.DG.01)
- Netzstrukturplan: Die Dokumentation vom NSP als Teil der Anlage PD.A zum Nachweisdokument P muss die N-Kriterien erfüllen. (N.DG.02)
- Prüfer: Die G- und N-Kriterien aus N.DG.01 und N.DG.02 müssen vom Prüfer geprüft werden. (N.DG.03) 2025
Fristen und Umsetzung
Die meisten Anforderungen sind ab August 2024, einige ab 2025 verbindlich:
- Prüfleitung (P.UP.03)
- Reifegrad <3 Mängelliste (D.PE.13)
- Prüfung G- und N-Anforderungen (N.DG.03)
- Vorgaben bestehende Zertifikate (N.BG.01, N.BG.02, N.BG.03, N.BG.04, D.AM.04)
- Alle anderen 2024
Weitere und neue Vorgaben zur Durchführungen von Prüfungen sind zukünftig möglich – auch parallel zur NIS2-Umsetzung in Deutschland.
Weitere Informationen
Quellen
- Anforderungen nach §8a Absatz 5 BSIG Grundsätzliche Anforderungen im Nachweisverfahren (GAiN), Bundesamt für Sicherheit in der Informationstechnik, 19.08.2024, Version 2.0
Formulare
- KRITIS-Nachweise kompakt, alle KRITIS-Nachweise und Nachweise, Bundesamt für Sicherheit in der Informationstechnik, o.D.