Betreiber Kritischer Infrastrukturen (KRITIS) sind gesetzlich verpflichtet, gegenüber dem BSI regelmäßig nachzuweisen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Nähere Informationen hierzu finden Sie in der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG.

Im Folgenden haben wir für KRITIS-Betreiber einige zu beachtende Punkte zusammengestellt, damit die Einreichung möglichst reibungslos klappt:

Erfüllung der Anforderungen gemäß § 8a Absatz 5 BSIG

Beachten Sie die Anforderungen nach § 8a Absatz 5 BSIG - Grundsätzliche Anforderungen im Nachweisverfahren (GAiN).

Systeme zur Angriffserkennung

Seit Mai 2023 muss in einer Prüfung gemäß § 8a Absatz 3 BSIG auch der Einsatz von Systemen zur Angriffserkennung geprüft werden. Nähere Informationen hierzu finden Sie in der Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung.

Rechtzeitige Einreichung der Nachweisunterlagen

Leider reichen noch nicht alle Betreiber ihre Nachweisunterlagen pünktlich beim BSI ein, was Nachfragen und Mahnungen seitens des BSI bedingt. Einer der Gründe hierfür besteht darin, dass die prüfenden Stellen nach abgeschlossener Prüfung noch einige Zeit für die Zusammenstellung der Ergebnisse benötigen. Wir empfehlen daher, von vornherein einen Puffer in den Nachweis-Zeitplan einzubauen. Damit vermeiden Sie das für alle Seiten aufwendige Mahnverfahren.

Hinweise zur Vermeidung von Nachfragen und Nachforderung von Unterlagen

Im Folgenden finden Sie eine Auflistung aller Dokumente, die für einen vollständigen Nachweis im BSI eingereicht werden müssen. Bitte beachten Sie die jeweiligen Hinweise zu den Dokumenten, da hierdurch die Wahrscheinlichkeit einer Nachforderung deutlich reduziert wird.

Nachweisdokument KI

• KI.3 Name(n) der registrierten Anlage(n) (bitte den/die beim BSI registrierten Anlagennamen verwenden) eintragen:
  Den Namen finden Sie im Erinnerungsschreiben des BSI zu Ihrem fälligen Nachweis sowie (ggf.) in der Empfangsbestätigung zum vorherigen Nachweis.
• Bitte an Stempel und Unterschrift des Betreibers der Kritischen Anlage denken!
  Alternative: digitale Signatur

Nachweisdokument P

• Feld P.3: Name(n) der registrierten Anlage(n) (bitte den/die beim BSI registrierten Anlagennamen verwenden) eintragen:
  Der Name befindet sich im Erinnerungsschreiben des BSI zum fälligen Nachweis sowie (ggf.) in der Empfangsbestätigung zum vorherigen Nachweis.
• Bitte an Stempel und Unterschrift der prüfenden Stelle denken!
  Alternative: digitale Signatur

Anlage PD.A

• Die Anlage PD.A muss sowohl eine textuelle Beschreibung als auch eine grafische Darstellung des Geltungsbereichs der Prüfung in einem „Netz-/Anlagenplan“ beinhalten.
  Bitte beachten Sie unser Dokument „Zur Dokumentation des Geltungsbereiches bei KRITIS-Betreibern“. Die darin aufgeführten Punkte G01 - G13 sowie N01 – N10 müssen ersichtlich werden - entweder in der Grafik oder in der textuellen Beschreibung des Geltungsbereichs.
• Hier werden die verpflichtenden Anforderungen an die Beschreibung des Geltungsbereichs näher erläutert und anhand eines Beispiels dargestellt.

Anlage PD.B Prüfplan

• Der Prüfplan ist in der vom BSI auf seiner Website vorgegebenen Form zu verwenden und muss zwecks Weiterverarbeitung der Daten in editierbarer Form (Excel-Datei) eingereicht werden.
• Alle Spalten müssen vollständig ausgefüllt sein!
• Bitte auch an die ‚Funktionsbezeichnungen der Prüfungsteilnehmer‘ (Spalte I) denken!

Anlage PE.A Liste der Sicherheitsmängel inklusive Umsetzungsplan zur Behebung der Mängel

• Die Mängelliste ist in der vom BSI auf seiner Website vorgegebenen Form zu verwenden und muss zwecks Weiterverarbeitung der Daten in editierbarer Form (Excel-Datei) eingereicht werden.
• Alle Spalten müssen vollständig ausgefüllt sein!
• Der Nachweis muss seit dem 1. Mai 2023 auch die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel enthalten. Das bedeutet, dass Mängel zu Systemen zur Angriffserkennung in der Anlage PE.A aufgenommen werden müssen.
• Bitte ein konkretes Datum zur Behebung der Mängel angeben (z.B. 31.12.2024 statt Quartal 4/2024).
• Bitte im Umsetzungsplan den „Status“ in Prozent angeben (ggf. auch 0 %).

Anlage PS.A Nachweis über die zusätzliche Prüfverfahrenskompetenz gemäß § 8a BSIG für:

• einen Mitarbeiter der prüfenden Stelle
• mindestens ein Mitglied des Prüfteams

Anlage PD.C Beschreibung der Prüfgrundlage

• In der Beschreibung muss deutlich werden, dass die Prüfgrundlage den Stand der Technik für die zu prüfende Kritische Anlage sinnvoll und vollständig abdeckt. Welche Normen, Regelwerke, B3S wurden zur Bildung der Prüfgrundlage herangezogen/verwendet? Wurde die Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung berücksichtigt? Wie wurden die branchenspezifischen Themen abgedeckt, wenn kein B3S berücksichtigt wurde?

Optionale Anlagen zum Nachweis:

• Selbsterklärung zur Eignung der prüfenden Stelle

  (Nur erforderlich, falls keine der übrigen Anerkennungen/Zertifizierungen/Optionen in Abschnitt PS.3 des Nachweisdokuments P zutrifft.)

• Nachweise auf Basis eines ISO 27001-Zertifikats

  In diesem Fall müssen die vom BSI geforderten Rahmenbedingungen erfüllt werden. Bitte beachten Sie hierzu unsere FAQ . Zu jedem dort aufgelisteten Punkt muss schriftlich dokumentiert werden, wie dieser in der Prüfung umgesetzt wurde.
  Zudem muss das gültige ISO-Zertifikat als Bestandteil der Nachweisdokumente mit im BSI eingereicht werden.

 

Weitere Hinweise

Wichtig ist, Mitarbeiterinnen oder Mitarbeiter des Betreibers dürfen nicht zum Prüfteam gehören (abseits der klar geregelten Ausnahme für Interne Revisionen). Beachten Sie hierzu die verbindlichen Anforderungen nach § 8a Absatz 5 BSIG. Eine Prüfung, welche die Anforderungen nicht erfüllt, kann für ungültig erklärt werden und muss wiederholt werden.

Alle Nachweisdokumente sind in deutscher Sprache einzureichen, lediglich der Prüfbericht selbst, kann in englischer Sprache verfasst sein.

Bitte reichen Sie keine Unabhängigkeitserklärungen für die Prüfer (ehemals Anlage PS.B) im BSI ein. Die Prüfung dieser obliegt den prüfenden Stellen.

Wie reiche ich die Nachweisdokumente sicher im BSI ein?

1. Bundesportal

Aufgrund der fortschreitenden Digitalisierung und vereinfachten Bearbeitung bitten wir um die sichere Einreichung der Nachweisunterlagen über das Bundesportal. Mit der Nutzung des Bundesportals entfallen die bekannten Probleme bei der Nachweiseinreichung per E-Mail (z.B. Verschlüsselung, Begrenzung der Anlagengrößen). Beachten Sie, dass Sie für die Einreichung über das Bundesportal ein eigenes ELSTER-Zertifikat benötigen und planen Sie zur Beantragung des Zertifikats entsprechenden Vorlauf ein.

Im Bundesportal finden Sie das Online-Formular unter dem Namen "Kritische Infrastrukturen: Einhaltung des Standes der Technik nachweisen". Eine Benutzeranleitung für die digitale Einreichung der Nachweisdokumente über das Bundesportal steht Ihnen im Melde- und Informationsportal (MIP) zur Verfügung.

2. Alternativ per E-Mail

Die Nachweisdokumente können alternativ - bei fehlendem ELSTER-Zertifikat - auch per E-Mail an das KRITIS-Büro eingereicht werden. In diesem Fall bitten wir Sie, Ihre E-Mail aus Sicherheitsgründen per S/MIME zu verschlüsseln.

Was geht nicht?

• Aus Sicherheitsgründen nimmt das BSI grundsätzlich keine Downloads von Nachweisdokumenten vor, die auf Servern/Portalen bereitgestellt werden. Dies gilt sowohl für die Einreichung der Nachweisdokumente als auch für Nachforderungen von Nachweisdokumenten durch das BSI.
• Von einer Übersendung der Nachweisunterlagen auf dem Postweg, bitten wir abzusehen.