In allen der in der BSI-KritisV genannten Anlagenkategorien gibt es (Software-)Systeme, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind. Diese (Software-)Systeme werden in der Praxis (teilweise oder vollständig) an Colocation-Anbieter ausgelagert. Der KRITIS-Betreiber bringt dabei seine eigenen Server, auf denen die Systeme betrieben werden und für deren Administration er verantwortlich ist, an einen externen Standort eines Colocation-Anbieters aus. Für die Versorgung der Server werden entsprechende Verträge mit dem Colocation-Anbieter geschlossen.
Die Auslagerung kann auf verschiedene Weise erfolgen. Standardmäßig werden vom Colocation-Anbieter verschließbare Rack-Spaces zur Verfügung gestellt. Für die Zugangssicherung, Stromversorgung, Kühlung, etc. werden die Services des Colocation-Anbieters verwendet. Alternativ ist es möglich, dass ganze Bereiche (Räume, Stockwerke oder gar Gebäude) angemietet werden und der KRITIS-Betreiber eigene zusätzliche Maßnahmen ergreifen kann (insbesondere im Bereich Zutrittsschutz und Sicherheit).
Für beide Szenarien gilt, dass grundsätzlich eine Vor-Ort-Prüfung erforderlich ist. Es kann jedoch begründete Fälle geben, bei denen eine Vor-Ort-Prüfung der Systeme des KRITIS-Betreibers beim Colocation-Dienstleister entfallen kann. Hierfür ist unentbehrlich, dass bereits eine von einer unabhängigen Stelle dokumentierte Vor-Ort-Prüfung (z. B. im Rahmen von Zertifizierungen, wie ISO/IEC 27001) bei dem Colocation-Dienstleister durchgeführt wurde.
Zusätzlich hat der Prüfer in diesem Fall eine Risikoabschätzung vorzunehmen, in der festgestellt wird, ob neben der Überprüfung des Colocation-Dienstleisters im Sinne des Dienstleistermanagements eine Vor-Ort-Prüfung in dem individuellen Fall notwendig ist. Ergänzende eigene Maßnahmen des KRITIS-Betreibers sprechen in der Regel für eine weitere Vor-Ort-Prüfung, da diese in der Vor-Ort-Prüfung des Colocation-Dienstleisters typischerweise nicht berücksichtigt wurden. In die Risikoabschätzung des Prüfers sollten darüber hinaus mindestens die Anzahl der betrachteten Systeme/Server sowie die Größe des angemieteten Space und weitere Risikofaktoren einfließen. Die entsprechende Abschätzung ist für den Nachweis nachvollziehbar und glaubhaft zu dokumentieren.
Ist aus Sicht des Prüfers eine Vor-Ort-Begehung zur Überprüfung der Systeme des KRITIS-Betreibers beim Colocation-Dienstleister erforderlich, so ist diese durchzuführen.
Darüber hinaus sollte zumindest eine Vor-Ort-Prüfung an den sonstigen Standorten der Anlage (z. B. Administrationsstandort des KRITIS-Betreibers) durchgeführt werden.
In jedem Fall muss der Prüfer die Einhaltung der Anforderungen mindestens im Rahmen des Dienstleistermanagements (Lieferanten, Dienstleister und Dritte; Übungen und Überprüfungen) überprüfen.