Erfüllung der Anforderungen gemäß § 8a Absatz 5 BSIG

Bitte beachten Sie die Anforderungen nach § 8a Absatz 5 BSIG - Grundsätzliche Anforderungen im Nachweisverfaren (GAiN).

Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN)

Die BSI-Publikation Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN) konzipiert die Vergabe von Reife- und Umsetzungsgraden innerhalb der § 8a BSIG-Nachweisprüfung neu und bindet die Reifegrade an festgelegte Kriterien. Zur Erstellung des Dokuments wurde so weit wie möglich das Feedback von Experten aus der Wirtschaft berücksichtigt.

Die bisherigen zur Bewertung vorgesehenen Themen ISMS, BCMS und SzA werden nun um die Themenbereiche Organisatorische Maßnahmen (OrgM), Personenbezogene Maßnahmen (PerM), Physische Maßnahmen (PhyM) und Technische Maßnahmen (TecM) erweitert. Die Bewertungsmethode für ISMS, BCMS und SzA wurden weiterentwickelt und dabei insbesondere die bewährte Methode zur Umsetzungsgradbewertung der System zur Angriffserkennung beibehalten. Den neuen Themenbereichen beziehungsweise deren Umsetzungsgraden ordnet die RUN teilweise konkrete Maßnahmen zu und lässt gleichzeitig auch Raum, um individuelle oder sektorspezifische Maßnahmen zu entwickeln und bewerten zu lassen.

Das BSI beabsichtigt mit dieser Konkretisierung, mehr Transparenz bei der Umsetzung und anschließenden Bewertung gesetzlicher Vorgaben zu schaffen. Zusätzlich wird durch die Vorgabe einer konkreten Methode zur Ermittlung von Reife- und Umsetzungsgraden das System der Nachweiserbringung gegenüber dem BSI weiter standardisiert und vereinheitlicht.

Die RUN soll spätestens für beim BSI eingereichte Prüfergebnisse mit einem Ende der Prüfung nach dem 01.04.2025 angewandt werden.

Systeme zur Angriffserkennung

Seit Mai 2023 muss in einer Prüfung gemäß § 8a Absatz 3 BSIG auch der Einsatz von Systemen zur Angriffserkennung geprüft werden. Nähere Informationen hierzu finden Sie in der Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung.

Rechtzeitige Einreichung der Nachweisunterlagen

Leider reichen noch nicht alle Betreiber ihre Nachweisunterlagen pünktlich beim BSI ein, was Nachfragen und Mahnungen seitens des BSI bedingt. Einer der Gründe hierfür besteht darin, dass die prüfenden Stellen nach abgeschlossener Prüfung noch einige Zeit für die Zusammenstellung der Ergebnisse benötigen. Wir empfehlen daher, von vornherein einen Puffer in den Nachweis-Zeitplan einzubauen. Damit vermeiden Sie das für alle Seiten aufwendige Mahnverfahren.

Optionale Anlagen zum Nachweis

• Geltungsbereich und Anlagenplan

  Die Anlage PD.A muss bei Folgeprüfungen gemäß § 8a Absatz 3 BSIG nur eingereicht werden, falls sich der Geltungsbereich oder Netz-/Anlagenplan im Vergleich zur letzten Einreichung der Nachweisunterlagen signifikant verändert hat.

• Selbsterklärung zur Eignung der prüfenden Stelle

  (Nur erforderlich, falls keine der übrigen Anerkennungen/Zertifizierungen/Optionen in Abschnitt PS.3 des Nachweisdokuments P zutrifft.)

• Nachweise auf Basis eines ISO 27001-Zertifikats

  In diesem Fall müssen die vom BSI geforderten Rahmenbedingungen erfüllt werden. Bitte beachten Sie hierzu unsere FAQ . Zu jedem dort aufgelisteten Punkt muss schriftlich dokumentiert werden, wie dieser in der Prüfung umgesetzt wurde.
  Zudem muss das gültige ISO-Zertifikat als Bestandteil der Nachweisdokumente mit im BSI eingereicht werden.

Weitere Hinweise

Wichtig ist, Mitarbeiterinnen oder Mitarbeiter des Betreibers dürfen nicht zum Prüfteam gehören (abseits der klar geregelten Ausnahme für Interne Revisionen). Beachten Sie hierzu die verbindlichen Anforderungen nach § 8a Absatz 5 BSIG. Eine Prüfung, welche die Anforderungen nicht erfüllt, kann für ungültig erklärt werden und muss wiederholt werden.

Alle Nachweisdokumente sind in deutscher Sprache einzureichen, lediglich der Prüfbericht selbst kann in englischer Sprache verfasst sein.

Bitte reichen Sie keine Unabhängigkeitserklärungen für die Prüfer (ehemals Anlage PS.B) im BSI ein. Die Prüfung dieser obliegt den prüfenden Stellen.

Wie reiche ich die Nachweisdokumente sicher im BSI ein?

1. Melde- und Informationsportal (MIP)

NEU: Nachweise können ab sofort über das MIP eingereicht werden.

Eine einfache, digitale und schlanke Option der Nachweiseinreichung ermöglicht Ihnen das Melde- und Informationsportal (MIP) des BSI.

Alle Betreiber einer Kritischen Infrastruktur verfügen bereits über einen Zugang zum MIP. Die Benutzeranleitung KRITIS-Nachweiseinreichung erläutert detailliert die Einreichung von Nachweisen im MIP.

Sollten Sie im Zusammenhang mit Ihrem MIP-Zugang Hilfe benötigen, wenden Sie sich bitte an das KRITIS-Büro.

2. Bundesportal

Aufgrund der fortschreitenden Digitalisierung und vereinfachten Bearbeitung bieten wir außerdem die sichere Einreichung der Nachweisunterlagen über das Bundesportal an. Mit der Nutzung des Bundesportals entfallen die bekannten Probleme bei der Nachweiseinreichung per E-Mail (z.B. Verschlüsselung, Begrenzung der Anlagengrößen). Beachten Sie, dass Sie für die Einreichung über das Bundesportal ein eigenes ELSTER-Zertifikat benötigen und planen Sie zur Beantragung des Zertifikats entsprechenden Vorlauf ein.

Im Bundesportal finden Sie das Online-Formular unter dem Namen "Kritische Infrastrukturen: Einhaltung des Standes der Technik nachweisen". Eine Benutzeranleitung für die digitale Einreichung der Nachweisdokumente über das Bundesportal steht Ihnen im Melde- und Informationsportal (MIP) zur Verfügung.

3. Alternativ per E-Mail

Die Nachweisdokumente können alternativ auch per E-Mail an das KRITIS-Büro eingereicht werden. In diesem Fall bitten wir Sie, Ihre E-Mail aus Sicherheitsgründen per S/MIME zu verschlüsseln. Die Nachweisformulare stehen auf der BSI-Website zum Download bereit:

• Formular KI - Angaben zur geprüften Kritischen Infrastruktur
• Formular P - Angaben zur Prüfung

Was geht nicht?

• Aus Sicherheitsgründen nimmt das BSI grundsätzlich keine Downloads von Nachweisdokumenten vor, die auf Servern/Portalen bereitgestellt werden. Dies gilt sowohl für die Einreichung der Nachweisdokumente als auch für Nachforderungen von Nachweisdokumenten durch das BSI.
• Von einer Übersendung der Nachweisunterlagen auf dem Postweg, bitten wir abzusehen.