Um die Bearbeitung zu vereinfachen, bitten wir um Einreichung der Nachweisunterlagen ausschließlich per E-Mail oder über das Bundesportal. Dort finden Sie das Online-Formular unter dem Namen "Kritische Infrastrukturen: Einhaltung des Standes der Technik nachweisen". Eine Benutzeranleitung für die digitale Einreichung der Nachweisdokumente im Bundesportal steht Ihnen im Melde- und Informationsportal (MIP) zur Verfügung. Eine zusätzliche Übersendung der Nachweisunterlagen auf dem Postweg ist nicht erforderlich.

Grundsätzlich können Nachweise gemäß § 8a Absatz 3 BSIG von allen prüfenden Stellen erbracht werden, die zur Erbringung geeigneter Nachweise fähig sind und gewisse verpflichtende Anforderungen erfüllen. Letztendlich liegt die Verantwortung für die Erbringung eines geeigneten Nachweises und damit auch die Auswahl einer geeigneten prüfenden Stelle beim Betreiber der Kritischen Infrastruktur.

Prüfende Stellen müssen Anforderungen nach § 8a Absatz 5 BSIG erfüllen. Diese sind auf der Website des BSI veröffentlicht.

In der "Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG" beschreibt das BSI zudem Kriterien, um die Eignung einer prüfenden Stelle (Kapitel 3) und des Prüfteams (Kapitel 4) bewerten zu können. Die Einhaltung dieser Kriterien bietet den Betreibern Sicherheit in der korrekten Umsetzung von § 8a Absatz 3 BSIG.

In allen der in der BSI-KritisV genannten Anlagenkategorien gibt es (Software-)Systeme, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind. Diese (Software-)Systeme werden in der Praxis (teilweise oder vollständig) an Colocation-Anbieter ausgelagert. Der KRITIS-Betreiber bringt dabei seine eigenen Server, auf denen die Systeme betrieben werden und für deren Administration er verantwortlich ist, an einen externen Standort eines Colocation-Anbieters aus. Für die Versorgung der Server werden entsprechende Verträge mit dem Colocation-Anbieter geschlossen.

Die Auslagerung kann auf verschiedene Weise erfolgen. Standardmäßig werden vom Colocation-Anbieter verschließbare Rack-Spaces zur Verfügung gestellt. Für die Zugangssicherung, Stromversorgung, Kühlung, etc. werden die Services des Colocation-Anbieters verwendet. Alternativ ist es möglich, dass ganze Bereiche (Räume, Stockwerke oder gar Gebäude) angemietet werden und der KRITIS-Betreiber eigene zusätzliche Maßnahmen ergreifen kann (insbesondere im Bereich Zutrittsschutz und Sicherheit).

Für beide Szenarien gilt, dass grundsätzlich eine Vor-Ort-Prüfung erforderlich ist. Es kann jedoch begründete Fälle geben, bei denen eine Vor-Ort-Prüfung der Systeme des KRITIS-Betreibers beim Colocation-Dienstleister entfallen kann. Hierfür ist unentbehrlich, dass bereits eine von einer unabhängigen Stelle dokumentierte Vor-Ort-Prüfung (z. B. im Rahmen von Zertifizierungen, wie ISO/IEC 27001) bei dem Colocation-Dienstleister durchgeführt wurde.

Zusätzlich hat der Prüfer in diesem Fall eine Risikoabschätzung vorzunehmen, in der festgestellt wird, ob neben der Überprüfung des Colocation-Dienstleisters im Sinne des Dienstleistermanagements eine Vor-Ort-Prüfung in dem individuellen Fall notwendig ist. Ergänzende eigene Maßnahmen des KRITIS-Betreibers sprechen in der Regel für eine weitere Vor-Ort-Prüfung, da diese in der Vor-Ort-Prüfung des Colocation-Dienstleisters typischerweise nicht berücksichtigt wurden. In die Risikoabschätzung des Prüfers sollten darüber hinaus mindestens die Anzahl der betrachteten Systeme/Server sowie die Größe des angemieteten Space und weitere Risikofaktoren einfließen. Die entsprechende Abschätzung ist für den Nachweis nachvollziehbar und glaubhaft zu dokumentieren.

Ist aus Sicht des Prüfers eine Vor-Ort-Begehung zur Überprüfung der Systeme des KRITIS-Betreibers beim Colocation-Dienstleister erforderlich, so ist diese durchzuführen.

Darüber hinaus sollte zumindest eine Vor-Ort-Prüfung an den sonstigen Standorten der Anlage (z. B. Administrationsstandort des KRITIS-Betreibers) durchgeführt werden.

In jedem Fall muss der Prüfer die Einhaltung der Anforderungen mindestens im Rahmen des Dienstleistermanagements (Lieferanten, Dienstleister und Dritte; Übungen und Überprüfungen) überprüfen.

Das BSI geht grundsätzlich davon aus, dass Akkreditierungen für prüfende Stellen durch die Nationalen Akkreditierungsstellen der EU-Mitgliedstaaten entsprechend der europäischen Verordnung (EG) Nr. 765/2008 (Artikel 4 Absatz 1) gleichwertig zu Akkreditierungen der DAkkS sind und durch eine für den Bereich ISO/IEC 27001 akkreditierte prüfende Stelle die Umsetzung und Einhaltung der ISO/IEC 17021-1 und ISO/IEC 27006 durch die Akkreditierung ausreichend nachgewiesen wurde.

Im Zweifel kann durch eine Anfrage an das BSI unter Angabe der Akkreditierungsstelle und des Bereiches, für den eine Akkreditierung vorliegt, Sicherheit gewonnen werden.

Der Nachweis ist gemäß § 8a Absatz 3 BSIG alle zwei Jahre zu erbringen. Bereits vorhandene Prüfungen können hierbei berücksichtigt werden, sofern sie zum Zeitpunkt der Einreichung nicht älter als ein Jahr sind. Details werden in der "Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG" beschrieben.

Die "Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG" stellt keine Festlegung im Sinne von § 8a Absatz 5 BSIG dar. Abweichungen von den Empfehlungen sind zulässig, solange qualitativ gleichwertige Alternativen genutzt werden.

Abweichende Vorgehensweisen oder Konkretisierungen können als Teil eines B3S definiert und dem BSI zur Eignungsprüfung eingereicht werden.

Das dem BSI eingereichte Nachweisdokument muss alle in der zugrundeliegenden Prüfung aufgedeckten Sicherheitsmängel auflisten. Eine Nachbesserung ist zulässig und im Sinne der Steigerung der IT-Sicherheit in KRITIS sogar erwünscht und zur Bewertung des Mangels in einem Umsetzungsplan zu dokumentieren.

Bereits behobene Sicherheitsmängel können dem BSI freiwillig mitgeteilt werden, damit diese in das Lagebild aufgenommen werden können.

Ausschließlich der vom BSI festgelegten Ausnahmen müssen alle Bestandteile eines Nachweises in deutscher Sprache vorgelegt werden. Eine abweichende Einreichung kann nur in begründeten Ausnahmefällen mit schriftlicher Zustimmung des BSI erfolgen.

Allgemeingültige Aussagen über die Prüfdauer sind nicht möglich, da sich die Anlagen der Betreiber Kritischer Infrastrukturen stark unterscheiden. Durch die Prüfung muss sichergestellt werden, dass die betreffende Infrastruktur gemäß § 8a Absatz 1 BSIG geschützt ist. Zu genauen Prüfumfängen kann das BSI keine Angaben machen.

Die Prüfdauer kann ggf. verkürzt werden, sofern frühere oder andere Prüfnachweise noch gültig sind und herangezogen werden können. Dabei sind sowohl Änderungen innerhalb der geprüften Anlage als auch bei der Gefährdungslage zu beachten

Die §§ 8a und 8b BSIG enthalten keine generelle Umsetzungsfrist für den Fall des erstmaligen Überschreitens der Schwellenwerte. Vorgesehen sind nur Umsetzungsfristen, die sich auf das erstmalige Inkrafttreten der BSI-KritisV (Korb 1 und 2) beziehen. Betreiber, die nicht bereits mit Inkrafttreten von Korb 1 oder 2, sondern erst zukünftig den Regelungen unterfallen, müssen die Pflichten nach §§ 8a und 8b BSIG unverzüglich umsetzen. Für den Nachweis der Umsetzung haben die Betreiber aber zwei Jahre Zeit.

Nein, die Prüfer können ihre Prüfverfahrenskompetenz für § 8a BSIG auch durch eine gleichwertige Qualifikation erwerben.

Bei einer Prüfung gemäß § 8a Absatz 3 BSIG ist es erforderlich, dass mindestens ein Mitglied des Prüfteams über ausreichend tiefe Prüfkenntnisse und die Besonderheiten einer Prüfung nach § 8a Absatz 3 BSIG verfügt.

Da es sich um ein komplexes Thema handelt, wurde vom BSI ein Schulungskonzept erarbeitet, mit dem diese zusätzliche Prüfverfahrenskompetenz erworben werden kann. Die Fortbildung bietet den Betreibern Kritischer Infrastrukturen ein zusätzliches Qualitätsmerkmal in der Auswahl der Prüfer und hilft bei einer zielgerichteten, geeigneten Prüfung. Das BSI empfiehlt daher den Besuch einer Schulungsmaßnahme bei einem qualifizierten Schulungsanbieter.

Bei der Fortbildung handelt es sich um keine Zulassung, Anerkennung oder Zertifizierung des Prüfers, sondern um eine empfohlene Zusatzqualifikation.

Nein. Ein B3S ist keine Prüfgrundlage. Ein B3S, dessen Eignung festgestellt wurde, kann jedoch dazu dienen, eine entsprechende Prüfgrundlage zu erstellen.

B3S dienen nicht der Festlegung der Prüfmethodik oder von Prüfhandlungen. Es ist nicht der Zweck eines B3S, Prüfern als Prüfgrundlage für Nachweise gemäß § 8a Absatz 3 BSIG zu dienen.

Die Auswahl und Verwendung einer geeigneten Prüfgrundlage für Prüfungen im Rahmen des § 8a Absatz 3 BSIG liegt in der Verantwortung der Prüfer. Bei der Erstellung einer geeigneten Prüfgrundlage können die aktuellen B3S nützlich sein, da sie den Stand der Technik in der Branche widerspiegeln.

Verpflichtende Anforderungen gemäß § 8a Absatz 5 BSIG können Sie auf der Website des BSI finden.

Diese betreffen auch den Prüfbericht und die Wahl von Stichproben.

Unabhängig davon sollten die im Rahmen einer Prüfung vorgenommenen Stichproben die Themenfelder angemessen abdecken. 

Es obliegt der Verantwortung des Prüfers, eine angemessene Stichprobengröße und die korrekte Prüfmethodik zu ermitteln und in geeigneter Form im Prüfbericht zu dokumentieren.

Zudem kann ein B3S zur Erstellung einer Prüfgrundlage oder zur Erstellung von Bestandteilen hiervon verwendet werden. Allerdings kann es erforderlich sein, die Prüfgrundlage bei einem abstrakten Detailniveau des B3S für die Erbringung des Nachweises anhand konkreter Maßnahmen zu präzisieren oder an die konkreten Begebenheiten eines Betreibers durch Erweiterung oder begründete Kürzung anzupassen.

Zusätzliche Informationen entnehmen Sie auch der "Orientierungshilfe zu Nachweisen" und den entsprechenden FAQ.

Die bei einer Prüfung gemäß § 8a Absatz 3 BSIG gefundenen Mängel sind dem BSI im Rahmen der Nachweiseinreichung in Form einer Mängelliste zu übermitteln. Die Liste beinhaltet einen Plan für die Mängelbehebung, aus dem hervorgeht, welche Maßnahmen bis zu welchem Zeitpunkt ergriffen werden, um die aufgeführten Mängel abzustellen. Die Mängelliste ist auf Basis der Vorlage des BSI zu erstellen.

Zur Erfassung des Umsetzungsstandes der Mängelbehebung reichen die Betreiber regelmäßig eine aktualisierte Version der Mängelliste beim Sektorreferat ein. Der Turnus der Einreichung der Aktualisierungen beträgt zwischen einem und sechs Monaten und wird Ihnen vom zuständigen Sektorreferat nach Sichtung der initialen Mängelliste mitgeteilt.

In der Aktualisierung ist die Nummerierung (ID) der Mängel aus der mit dem Nachweis eingereichten Mängelliste beizubehalten, damit beim BSI eine eindeutige Zuordnung erfolgen kann.

Bitte konkretisieren Sie insbesondere den Umsetzungstermin der Maßnahmen unter Angabe des tatsächlichen oder geplanten Fertigstellungsmonats. Verzögerungen bei der Umsetzung müssen nachvollziehbar begründet werden.

Bis zum 30. April 2022 konnten im Hinblick auf pandemiebedingte Kontaktbeschränkungen (COVID-19-Pandemie) ausnahmsweise einzelne Vor-Ort-Prüfungshandlungen durch Remote-Prüfungshandlungen ersetzt werden. Voraussetzungen dafür waren u. a. eine Risikobewertung, eine ergänzende Dokumentation sowie dass die Vor-Ort-Prüfungshandlungen zu einem späteren Zeitpunkt nachgeholt werden.

Die Substitution von Prüfungshandlungen vor Ort durch Remote-Prüfungshandlungen stellte eine vorübergehende, situationsbedingte Ausnahme dar. Eine Remote-Prüfung musste als schwerwiegender Prüfmangel in der Sicherheitsmängelliste (gemäß § 8a Absatz 3 Satz 3 BSIG) des Nachweises festgehalten werden.

Die beschriebene Ausnahmeregelung ist zum 1. Mai 2022 ausgelaufen, daher müssen nach Ablauf des 30. April 2022 im Zusammenhang mit der Nachweiserbringung gemäß § 8a Absatz 3 BSIG Prüfungen wieder vor Ort stattfinden.