KRITIS-Prüfungen

KRITIS-Betreiber müssen dem BSI die Umsetzung angemessener Cybersecurity Maßnahmen in ihren KRITIS-Anlagen alle zwei Jahre durch §8a BSIG Prüfungen nachweisen. Die Prüfungen folgen formellen Vorgaben des BSI (GAiN), werden von KRITIS-Prüfern durchgeführt und von den Betreibern selbst veranlasst.

In den Prüfungen finden die Prüfer (wahrscheinlich) Mängel in der IT-Sicherheit bei Betreibern, die als Teil der Ergebnisse und Nachweise ans BSI berichtet und danach von Betreibern behoben werden müssen. Langfristig sollten Maßnahmen in einem Security Programm und Prüfungen in einem KRITIS-Prüfprogramm gesteuert werden.

Das BSI veröffentlich im Herbst 2024 einen Community Draft der neuen Schulung für KRITIS-Prüferschulungen, welche tiefere Methodiken und Vorgaben für Prüfungen enthalten.

KRITIS-Prüfungen bestehen – Erfahrungen aus der Praxis

Die Rolle von Prüfungen in Kritischen Infrastrukturen und wie Betreiber sich vorbereiten. Ein Gespräch über Helmkameras, 50 KRITIS-Anlagen und wie man Prüfungen (nicht) besteht.
Mit Lutz Naake
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 46 Min ∙ 14.2.2022

Änderungen ab 2024

NIS2 und KRITIS-Dachgesetz

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz werden sich die Nachweispflichten betroffener Unternehmen in den nächsten Jahren ändern. Die Nachweispflichten haben sich in Entwürfen mehrmals geändert – aktuell mit einem 3-Jahreszyklus für Betreiber (KRITIS) und Stichproben bei den Einrichtungen.

eigene Zusammenstellung nach Referentenentwürfen, Stand Juni 2024
* - Scope der Prüfungen noch nicht ganz klar
	Betreiber kritischer Anlagen		Einrichtungen
	Betreiber kritischer Anlagen		Besonders wichtig	Wichtig
Gesetz	NIS2UmsuCG	DachG	NIS2UmsuCG	NIS2UmsuCG
Zeitraum	ab 2025	ab 2026	ab 2025	ab 2025
Pflicht	§39 (1)	§11	§63	§64
Prüfungen	alle drei Jahre	Teil von Audits	Stichproben durch BSI
Inhalt	IT-Sicherheit Meldepflicht SzA	Resilienz	IT-Sicherheit Meldepflicht	IT-Sicherheit Meldepflicht
Scope	Unternehmen*	Unternehmen*	Unternehmen	Unternehmen
Stichproben	Tiefenprüfung	Nachweisqualität	Risikobasiert	bei Anlass
Empfänger	BSI	BBK	BSI	BSI

Die Betreiber von kritischen Anlagen müssen dem BSI Nachweise für die Maßnahmen nach §§30-31 alle drei Jahre durch Prüfungen und Audits erbringen. Das BSI hat die Befugnis, von sich aus Betreiber kritischer Anlagen als besonders wichtige Einrichtung zu prüfen. §63 (5)

Einrichtungen müssen dem BSI die Umsetzung der Maßnahmen nicht regelmäßig nachweisen, das BSI kann Einrichtungen aber zu Prüfungen verpflichten, Nachweise verlangen und selbst mit Tiefenprüfungen prüfen (lassen). §63

Vorbereitung der KRITIS-Prüfung

Prüfplanung

Vor der Prüfung

Vor KRITIS-Nachweisprüfungen müssen von KRITIS-Betreibern grundlegende Entscheidungen und Vorbereitungen zum Ablauf und Scope der §8a BSIG-Nachweisprüfung getroffen werden:

Zeiten und Termine: Zeitplanung der Prüfungshandlungen in den registrierten Anlagen mit betroffenen Personen, Interviews, Begehungen, Bereitstellung von Unterlagen, Fristen.
Zu prüfende Anlagen: Festlegung, welche Anlagen im Betrieb in den Prüfzyklus der KRITIS-Betroffenheit fallen und vom Prüfer geprüft werden müssen.
Betroffene Standorte: Analyse, welche Standorte von Anlagen und vom Betreiber in der Prüfung untersucht werden (müssen), bzw. im KRITIS-Geltungsbereich sind.
Betroffene Bereiche: Analyse, welche Betriebsbereiche durch die Prüfung betroffen sind — IT, Produktion, Sicherheit — und wieviel Zeit und Vorbereitung Betreiber einplanen müssen.
Inhaltliche Schwerpunkte: Festlegung im Prüfprogramm oder anhand aktueller Ereignisse, welche IT-Systeme oder Security-Aspekte Schwerpunkte im aktuellen Prüfzyklus sind.
Audit-Preparation: Vorbereitung der KRITIS-Prüfung in der Organisation und den Fachbereichen, Sammlung von Nachweisen, Übungen und Testdurchläufe der Prüfungen.

Die Vorbereitung, Koordinierung und Steuerung der Prüfung kann beim Betreiber von einer eigenen KRITIS-Organisation als Projekt-Organisation oder Stabsstelle verantwortet werden.

Auswahl der KRITIS-Prüfer

Die §8a BSIG-Nachweisprüfungen bei KRITIS-Betreibern dürfen nur von einem bestimmten Prüferkreis durchgeführt werden — den prüfenden Stellen. Diese müssen durch das BSI festgelegte Voraussetzungen erfüllen und ihre Eignung und die des Prüfteams nachweisen.

Als Teil der eigenen Prüfungsplanung wählen Betreiber geeignete KRITIS-Prüfer aus dem Kreis der prüfenden Stellen aus und beauftragen diese. Die prüfende Stelle wiederum stellt das Prüfteam mit den notwendigen Qualifikationen zusammen.

Prüfgrundlage und Standards

Die Prüfgrundlage bestimmt das methodische und inhaltliche Vorgehen in der §8a BSIG-Nachweisprüfung der KRITIS-Anlage(n). Der Betreiber legt die Prüfgrundlage zusammen mit dem Prüfer fest — das Vorgehen muss dem BSI die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen in den KRITIS-Anlagen demonstrieren können.

Es gibt verschiedene Möglichkeiten für KRITIS-Prüfgrundlagen — von Branchenstandards (B3S) über berufsständische Vorgaben bis zu Kriterien des BSI selbst.

Durchführung der KRITIS-Prüfung

Was passiert in der Prüfung?

In der §8a BSIG Nachweisprüfung prüfen KRITIS-Prüfer bei KRITIS-Betreibern die Schutzmaßnahmen der Kritischen Infrastrukturen in den gemeldeten KRITIS-Anlagen. Dazu führen die Prüfer Prüfhandlungen durch, um vorhandene Cyber Security Maßnahmen zu bewerten.

In der KRITIS-Prüfung sind in den Audit Sessions folgende Aspekte wichtig:

Teilnehmer: Prüfer und die geprüften Fachbereiche, Experten und IT
Themen: KRITIS, Cyber Security, Risiko-Management, IT und Steuerung
Prüfhandlungen: Interviews, Dokumenten-Reviews, Nachweise und Protokolle

Anforderungen

Das formelle Vorgehen in der Prüfung ist vom BSI in Anforderungen nach §8a (5) BSIG seit 2023 normativ definiert. Die Anforderungen legen Vorgaben zum Vorgehen (Prüfschritte, Vier-Augen-Prinzip), zu Nachweisdokumenten (verbindliche Nutzung der BSI-Vorlagen), zum Umgang mit Mängeln und zur Dokumentation im Prüfbericht fest.

Methodik

Das Prüfvorgehen einer KRITIS-Prüfung teilt sich üblicherweise in mehrere Phasen auf — abhängig von der Prüfgrundlage, KRITIS-Sektor und dem ausführenden KRITIS-Prüfteam.

Prüfverfahrenskompetenz

Das BSI stellt die neue Schulung für KRITIS-Prüfer zur §8a (1) Prüfverfahrenskompetenz als Community Draft zur Verfügung. Die Schulung wurde, basierend auf den Erfahrungen der letzten Jahre, neu konzipiert, um die Qualität der Prüfungen und Nachweise zu erhöhen. Die Prüfung betrachtet im aktuellen Draft Kritische Anlagen (KRITIS) und umfasst in Modulen:

Grundlagen Kritischer Infrastrukturen
Prüfvorgehen und Planung
Grundlagenprüfung, Angemessenheits- und Wirksamkeitsprüfung
Berichtswesen, Mängel

Das BSI sammelt zum Community Draft (PDF) Feedback und muss für Prüfungen und Schulungen ab 2025 noch einige Entscheidungen treffen (Übergangsfristen, Zertifizierungen, Prüfer). Neue Themen aus NIS2 und KRITIS-Dachgesetz sollen zukünftig behandelt werden.

Was wird geprüft?

Prüfer untersuchen Kritische Infrastrukturen in KRITIS-Prüfungen in der Regel in drei Phasen:

1Grundlagen: Untersuchung des Geltungsbereichs der KRITIS-Anlage. Der Prüfer sollte die Funktion der KRITIS-Anlage und dazugehöriger Prozesse und IT nachvollziehen können.
2Angemessenheit von IT-Sicherheit: Prüfung, ob die genannten Maßnahmen geeignet und angemessen sind, um die IT- und Sicherheitsrisiken der KRITIS-Anlagen zu reduzieren.
3Wirksamkeit von Kontrollen: Auswahl und Untersuchung von Stichproben, ob die Kontrollen für IT-Sicherheit wirklich wirksam waren und umgesetzt wurden (Effektivität).

Grundlagenprüfung

In der Grundlagenprüfung — der ersten Phase der Prüfung (noch vor der tatsächlichen Hauptprüfung) — untersuchen die Prüfer das Vorgehen und die Definitionen des Betreibers in seinen KRITIS-Anlagen und der Prüfung.

Geltungsbereich: Prüfung, ob der Geltungsbereich vollständig und im Sinne von KRITIS verständlich ist — kann die KRITIS-Anlage nachvollzogen werden? Das BSI hat Empfehlungen und Erfahrungen aus der Praxis an Geltungsbereiche publiziert.
Verantwortung: Klärung der grundlegenden Verantwortungen beim Betreiber zum Thema KRITIS und Anlagen mit der Geschäftsführung und KRITIS-Leitung.
Prüfplanung: Analyse und Bewertung der Prüfplanung des Betreibers für die KRITIS-Prüfung inkl. der Prüfgrundlage (OH-N, B3S, BSI), Control Set usw.
Vorgehen: Dabei sprechen die Prüfer mit den KRITIS-Verantwortlichen beim Betreiber und prüfen KRITIS-Unterlagen und Dokumentationen.

Angemessenheitsprüfung

In der Angemessenheitsprüfung — der zweiten Phase der Prüfung — beurteilen die Prüfer die Angemessenheit von Sicherheitsmaßnahmen und Kontrollen beim Betreiber in der KRITIS-Anlage — die Planung und Umsetzung von Maßnahmen.

Prüferisches-Soll vs. Betreiber-Ist: Aufnahme des Ist-Zustandes der IT-Sicherheit in der KRITIS-Anlage und Abgleich mit dem Soll-Zustand der gewählten Prüfgrundlage.
Angemessenheit von Kontrollen: Prüfung und Beurteilung, ob Sicherheitsmaßnahmen angemessen geplant und umgesetzt sind — werden KRITIS-Risiken organisiert gemindert?
Vorgehen: In dieser Phase sprechen die Prüfer mit den IT- und Prozess-Verantwortlichen sowie Control Ownern und prüfen die Dokumentationen von Sicherheitsmaßnahmen und IT.

Wirksamkeitsprüfung

In der Wirksamkeitsprüfung, der wichtigsten Phase der Prüfung, untersuchen die Prüfer die Umsetzung und Effektivität der Cyber Security Maßnahmen in der KRITIS-Anlage.

Durchführung: Prüfung, ob die Kontrollen (Sicherheitsmaßnahmen) wie vorgesehen durchgeführt werden — funktionieren die Kontrollen und erreichen sie ihr Kontrollziel?
Nachvollziehbarkeit: Untersuchung, ob die Durchführung der Kontrollen durch Dritte nachvollzogen werden kann: finden sich Nachweise in Systemen, Protokollen oder Logs?
Stichproben: Prüfer wählen für die Kontrollen nach Parametern (Grundgesamtheit, Frequenz, Risiko) Stichproben aus und bewerten diese auf Abweichungen.
Vorgehen: Dabei untersuchen Prüfer Nachweise aus Systemen und Tests, analysieren die Daten von Kontrollen in IT-Systemen und vollziehen Änderungen nach.

In der Prüfung

Prüfhandlungen

In der Prüfung können folgende Prüfhandlungen vom Prüfteam durchgeführt werden:

Interviews: Strukturierte Gespräche mit Verantwortlichen beim Betreiber zu bestimmten Themen (Anlagen, Prozesse, IT) und Kontrollen.
Review von Dokumenten: Prüfung von Unterlagen auf Vollständigkeit, Inhalt und formelle Korrektheit (Dokumentenlenkung, Versionen, Daten, Änderungen)
Review von Controls: Prüfung der Planung und Umsetzung von Maßnahmen durch Einsicht in IT-Systeme und Nachvollzug von Prozessen
Review von Nachweisen: Prüfung von Protokollen, Log-Dateien, Auswertungen, Statistiken
Begehung: Prüfung der Zustände vor Ort in Anlagen, Rechenzentren und Geschäftsräumen

Themen

Themen, die in Security-Prüfungen häufig abgefragt und getestet werden — dies ist jedoch stark vom gewählten KRITIS-Sicherheitsstandard und der Prüfgrundlage abhängig.

Governance: Prozesse, Rollen und Vorgaben, die beim Betreiber in der KRITIS-Anlage das Management von Informationssicherheit (ISMS), Risiken, Business Continuity (BCM) und IT-Notfallmanagement und KRITIS verankern und selbst überprüfen und verbessern.
Angriffserkennung und Schwachstellen: Prozesse und Systeme zur Detektion von Angriffen, Vorfällen und Schwachstellen, und zur Reaktion, Überprüfung und Behebung, ab 2023 stark erweitert um die Orientierungshilfe Angriffserkennung (OH SzA)
Technische IT-Sicherheit: Themen rund um technische und IT-Sicherheitsmaßnahmen: Hardware, sicherer IT-Betrieb, Software, Betriebssysteme, Entwicklungsprozesse
Schnittstellen: Netzübergänge, Firewalls, externe Zugänge, remote Access und VPN
Personal und Physische Sicherheit: Zugangs- und Zutrittsberechtigungen und deren Management (IAM), Schutzmaßnahmen von Gebäuden, Anlagen, Energie/Klima, Perimeter
Externe: Themen rund um Risiken und Steuerung von externen Mitarbeitern, Lieferanten und Dienstleistern (IT-Provider) in der KRITIS-Anlage, samt Berechtigungen und Verträge

Teilnahme

An den einzelnen Terminen von KRITIS-Prüfungen nehmen üblicherweise folgende Gruppen teil, in unterschiedlicher Zusammensetzung:

Das Prüfteam mit den KRITIS-Prüfern: Prüfungsleiter und Prüfer
Sicherheitsmanagement zu zentralen Themen wie ISMS, Governance, Risiken, Kontrollen
Geprüfte Fachbereiche mit Ansprechpartnern und Experten zu Prozessen und Anlagen
IT und Betrieb mit Ansprechpartnern und Experten zu IT-Systemen und Anwendungen
Koordinatoren der Prüfung, Compliance und KRITIS-Verantwortliche, falls vorhanden

Am Ende der Prüfung

Nachweise und Einreichung

Am Ende der Prüfung steht eine Einschätzung des Prüfteams zu notwendigen KRITIS-Maßnahmen, um etwaige Mißstände zu beheben. Die Prüfer bilden sich über Mängel ihr Prüfurteil und dokumentieren im Prüfbericht.

Die Nachweisdokumente mit Formularen und Anhängen werden von KRITIS-Prüfer und Betreiber und dann vom Betreiber ans BSI übermittelt, dabei kann es zu Rückfragen kommen. Als Ergebnis von KRITIS-Prüfungen gibt es kein Zertifikat durch die Prüfer oder das BSI.

Nach der Prüfung müssen die Mängel behoben und Umsetzung und weitere Prüfungen organisiert werden.

Weitere Informationen

Literatur und Links

Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG, Bundesamt für Sicherheit in der Informationstechnik, Oktober 2024
Qualifizierung von Personen zur Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG (PDF), Schulungsunterlagen, Bundesamt für Sicherheit in der Informationstechnik, September 2024
Orientierungshilfe zu Nachweisen gemäß §8a Absatz 3 BSIG (OH-N), Bundesamt für Sicherheit in der Informationstechnik, Version 1.2, 12. Mai 2023
Informationen für Prüfer, Webseite Bundesamt für Sicherheit in der Informationstechnik
FAQ zu IDW PH 9.860.2, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik
Erfolgreich Nachweise einreichen, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Ereignisse über das MIP melden, Bundesamt für Sicherheit in der Informationstechnik, o.D
Anleitung zur Mängel-Dokumentation in der Mängelliste, Bundesamt für Sicherheit in der Informationstechnik, 19.02.2024