Anforderungskatalog für KRITIS-Betreiber und Prüfer

Der vorliegende Anforderungskatalog bietet Betreibern Kritischer Infrastrukturen (KRITIS-Betreibern) und prüfenden Stellen eine Konkretisierung der Anforderungen des § 8a Absatz 1 und Absatz 1a BSIG. Zudem stellt der Anforderungskatalog den prüfenden Stellen geeignete Kriterien für eine sachgerechte Prüfung der eingesetzten Sicherheitsvorkehrungen vor, um die geforderten Nachweise gemäß § 8a Absatz 3 BSIG erbringen zu können. Im Rahmen dieser Prüfung kann der Anforderungskatalog als Prüfgrundlage herangezogen werden, wobei er zusätzlich an die spezifischen betrieblichen Gegebenheiten der KRITIS-Betreiber angepasst werden muss.

Dieser Anforderungskatalog ist eine Fortschreibung des in Zusammenarbeit mit dem Fachausschuss für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) auf Basis des C5 2016 entwickelten Anforderungskatalogs. Das BSI bedankt sich für die angenehme und gelungene Zusammenarbeit mit den Mitgliedern der Arbeitsgruppe „IT-Sicherheitsgesetz“ des FAIT.

Weiterführende Informationen und beispielhafte Prüfungshandlungen für eine sachgerechte Prüfung auf Grundlage dieses Anforderungskatalogs enthält der IDW-Prüfungshinweis: Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Absatz 1 und § 8a Absatz 1a BSIG umzusetzenden Maßnahmen (IDW PH 9.860.2 n. F.).

Hinweis:
Einige aktuelle Veröffentlichungen des BSI sind in dem Anforderungskatalog für KRITIS-Betreiber und Prüfer noch nicht berücksichtigt. Insbesondere die in der Publikation GAiN (Grundsätzliche Anforderungen im Nachweisverfahren) beschriebenen Anforderungen sind nicht enthalten. Diese und ggf. weitere aktuelle Anforderungen müssen selbständig ergänzt werden.

Eine Fortschreibung des Anforderungskatalogs unter Berücksichtigung der Anforderungen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist geplant.