Änderungen der Anforderungen

Vergleich der aktuellen Version 2.0 mit der initial veröffentlichten Version 1.0

Änderungen/Ergänzungen sind orange; entfallener Text ist grau markiert. Die hier im Changelog dargestellten Änderungen dienen der Übersicht und Orientierung, es gilt ausschließlich und vorrangig die veröffentlichte Fassung des Dokuments.

P.UP. 03: Die Leitung des Prüfteams muss spätestens nach drei Prüfzyklen wechseln. Der bisherige Prüfungsleiter darf Teil des Prüfteams bleiben.

P.IR.01:
b) die Wirksamkeit der Internen Revision durch die Einhaltung der Global Internal Audit Standards (bzw. bis Ende 2024 Internationalen) Standards für die berufliche Praxis der Internen Revision des Institute of Internal Auditors (IIA) sicherstellen und nachweisen.

D.PE.13: Für Umsetzungs- bzw. Reifegrade kleiner Stufe 3 muss aus der Mängelliste unmissverständlich hervorgehen, welche Mängel ausschlaggebend für die jeweilige Bewertung sind. Dieser Zusammenhang muss entsprechend in der Mangelbeschreibung erläutert werden.

N.DG.01:
G03: Entfällt.
G04: Alle für die kritische Dienstleistung (kDL) maßgeblichen Prozesse sind erfasst und nachvollziehbar beschrieben.
G05: Alle für die kritische Dienstleistung (kDL) maßgeblichen Systeme, Komponenten und ggf. Applikationen sind erfasst und nachvollziehbar beschrieben.
G06: Alle Teile der KRITIS-Anlage gehen aus dem eingereichten Geltungsbereich hervor.
G09: Entfällt.

N.DG.02:
N04: Entfällt.
N06: Wartungsschnittstellen sind abgebildet, sofern sie dauerhaft freigeschaltet sind. Sollte es keine dauerhaft freigeschalteten Wartungsschnittstellen geben, ist dies im textuellen Geltungsbereich zu vermerken.
N11: Aus dem Netzstrukturplan ist ersichtlich, an welchen Stellen Netze getrennt oder separiert wurden.
N12: Im Netzstrukturplan ist ersichtlich, welche Netzabschnitte und KRITIS-relevanten IT Komponenten (Server, Router, Firewalls etc.) durch Systeme zur Angriffserkennung überwacht werden. Bereiche, die nicht überwacht werden, sind gekennzeichnet.

N.DG.03:
Die Umsetzung der Anforderungen unter N.DG.01 und N.DG.02 muss durch die Prüfer bewertet werden. Abweichungen müssen in die Mängelliste aufgenommen werden.

N.BG.01:
Sollte ein natives ISO/IEC 27001-Zertifikat,ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz, ein C5-Testat oder ein anderes Prüfzertifikat als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG verwendet werden, müssen die Prüfer kontrollieren, ob im Rahmen einer Anwendbarkeitserklärung (Statement of Applicability) und im Geltungsbereich der Zertifizierung Bereiche, welche für die kritische Dienstleistung relevant sind, ausgeschlossen wurden. Sollte dies der Fall sein, müssen die fehlenden Bereich im KRITIS-Audit abgedeckt werden.

N.BG.02:
Sollte ein natives ISO/IEC 27001-Zertifikat, ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz, ein C5-Testat oder ein anderes Prüfzertifikat als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG verwendet werden, müssen die Prüfer verifizieren, dass die KRITIS-Schutzziele in die Risikobetrachtung aufgenommen und durchgängig in allen Prozessen und Maßnahmenumsetzungen zusätzlich betrachtet wurden.

N.BG.03:
Sollte ein natives ISO/IEC 27001-Zertifikat, ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz, ein C5-Testat oder ein anderes Prüfzertifikat als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG verwendet werden, müssen die Prüfer kontrollieren, dass keine Risiken im Geltungsbereich akzeptiert wurden, für die Sicherheitsvorkehrungen nach Stand der Technik möglich und angemessen sind. Ebenso muss geprüft werden, dass keine nach Stand der Technik mögliche und angemessene Sicherheitsvorkehrung durch einen Risikotransfer wie z.B. eine Versicherung ersetzt wird.

N.BG.04:
Sollte ein natives ISO/IEC 27001-Zertifikat, ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz, ein C5-Testat oder ein anderes Prüfzertifikat als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG verwendet werden, müssen die Prüfer kontrollieren, dass die letzte Prüfung im Zertifikatszeitraum nicht länger als 12 Monate zurückliegt.

N.BG.05:
Sollte ein natives ISO/IEC 27001-Zertifikat, ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz oder ein anderes Prüfzertifikat als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG verwendet werden, müssen die Prüfer die relevanten Kontrollen auf Wirksamkeit überprüfen.

D.AM.02:
[…] Die so erweiterte Liste muss nur dem Prüfer vorgelegt werden und ist nicht Bestandteil der beim BSI einzureichenden Nachweisunterlagen.

D.AM.04:
Sollten die Ergebnisse aus vorangegangenen anderen Prüfungen (bspw. ISO/IEC 27001, C5 etc.) als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG verwendet werden, müssen die für die kritische Dienstleistung relevanten Abweichungen aus den jeweiligen Beurteilungen durch die Prüfer in die KRITIS-Prüfung einbezogen werden. Für alle dort aufgeführten Abweichungen ist der aktuelle Stand der Behebung, wie vom Betreiber angegeben, im Rahmen einer Plausibilitätskontrolle zu beurteilen. Für nicht vollständig behobene Abweichungen ist der aktuelle Stand, wie vom Betreiber angegeben, und die Plausibilitätsbeurteilung im Prüfbericht festzuhalten. Die Abweichungen müssen als Mängel in die aktuelle Mängelliste (PE.A) überführt werden, wobei kenntlich zu machen ist, aus welcher Prüfung die Abweichung stammt.

N.AM.01: Entfällt

N.BN.01:
Soweit vorhanden, sind zur Nachweiserbringung für alle Dokumente und Unterlagen vom Betreiber verpflichtend die aktuellen vom BSI zur Verfügung gestellten Formulare und Vorlagen im vorgegebenen Dateiformat sowie Ausfüllanleitungen zu verwenden. Das BSI veröffentlicht diese in jeweils aktueller Version und gibt gegebenenfalls Übergangsfristen an. Eine abweichende Einreichung kann nur in begründeten Ausnahmefällen mit schriftlicher Zustimmung des BSI erfolgen.

N.BN.07:
Anlage PE.A: Der vollständige Nachweis gemäß § 8a Absatz 3 BSIG muss „Anlage PE.A: Liste der Sicherheitsmängel inklusive Umsetzungsplan zur Behebung der Mängel“ beinhalten. Falls Mängel vorhanden sind, müssen die Liste der Sicherheitsmängel, der Umsetzungsplan und die abschließende Beurteilung des Umsetzungsplans durch den Prüfer ordnungsgemäß und ohne nachträgliche Änderungen enthalten sein. Falls keine Mängel vorhanden sind, ist das in der Anlage anzugeben. Sollte eine KRITIS-Nachweisprüfung auf Ergebnissen aus vorangegangenen anderen Prüfungen (bspw. ISO/IEC 27001, C5) beruhen, so sind sämtliche Mängel, die für die kritische Dienstleistung relevant sind, aus den vorangegangenen Prüfungen in die Liste der Sicherheitsmängel aufzunehmen.

N.BN.10:
Dokumentation des Prüfablaufs (ehem. Prüfplan) PD.B bei Zusatzprüfung: Wurde eine Prüfung zur Erbringung des Nachweises nach § 8a Absatz 3 BSIG als Zusatzprüfung zu einer anderen Prüfung durchgeführt, sind in der Dokumentation des Prüfablaufs (ehem. Prüfplan) Prüfthemen, die durch die andere Prüfung abgedeckt wurden, unter Anbringung eines entsprechenden Hinweises aufzunehmen. Der Hinweis soll in der Angabe zur Prüfmethode vermerkt sein. Der Hinweis muss vollständige und geeignete Verweise auf die relevanten Stellen (zum Beispiel auf Seitenzahlen oder auf Abschnitte in Kapiteln) im zugehörigen Auditbericht beinhalten.

Glossar

Am Ende des Dokuments wurde ein Glossar hinzugefügt.

Änderungen referenzierender Dokumente

Redaktionelle Anpassungen zur Kongruenz zu GAiN 2.0 wurden vorgenommen in folgenden Dokumenten:

• FAQ zu B3S als Prüfgrundlage
• Formular KI
• Formular P
• Zur Dokumentation des Geltungsbereiches bei KRITIS-Betreibern
• OH Nachweise
• Vorlage Dokumentation Prüfablauf (ehem. Prüfplan)
• Formular P* für nach EnWG nachweispflichtige Betreiber