Eine prüfende Stelle für Nachweise gemäß § 8a Absatz 3 BSIG ist eine geeignete Institution, die vom KRITIS-Betreiber beauftragt wird festzustellen, ob der KRITIS-Betreiber angemessene Vorkehrungen gemäß § 8a Absatz 1 BSIG getroffen hat.

Ausführliche Informationen zum Nachweisverfahren und zur Rolle des Prüfteams und der Prüfer finden Sie in unserer Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG.

Verbindliche Anforderungen zum Nachweisverfahren entnehmen Sie den entsprechenden Dokumenten nach § 8a Absatz 5 BSIG.

Aufgaben

Ein Prüfteam der prüfenden Stelle führt die Prüfung gemäß einem festgelegten Prüfverfahren durch und erstellt einen Prüfbericht, der die Prüfergebnisse dokumentiert.
Dabei kann diese Prüfung

• als Einzelprüfung einer geeigneten (internen oder externen) prüfenden Stelle
• oder als Zusatzprüfung z. B. im Rahmen
• eines unternehmensinternen Sicherheitsaudits durch eine Interne Revision mit Quality Assessment nach IDW PS 983 oder DIIR Revisionsstandard Nr. 31,
• einer Wirtschaftsprüfung durch qualifizierte Wirtschaftsprüfer oder
• einer ISO/IEC 27001-Zertifizierung, d. h., eines Zertifzierungs-, Überwachungs- oder Rezertifizierungsaudits (nativ oder auf Basis von IT-Grundschutz) durch Auditoren (Drittparteien- oder Third-Party-Audit)

durchgeführt werden.

Kompetenz und Eignung

Damit Prüfer im Auftrag der KRITIS-Betreiber geeignete Prüfungen und damit geeignete Nachweise zur Erfüllung der gesetzlichen Anforderungen erbringen können, müssen sie über Kompetenzen in den folgenden Bereichen verfügen:

• Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG
• Auditkompetenz
• IT-Sicherheitskompetenz bzw. Informationssicherheits-Kompetenz
• Branchenkompetenz

Ein Prüfer muss nicht alleine über alle diese Kompetenzen verfügen, die geeignete Zusammenstellung eines Prüfteams mit der Abdeckung aller Kompetenzbereiche ist ausreichend. Sofern die erforderlichen Kompetenzen nicht bei den Prüfern selbst vorliegen, kann in das Prüfteam auch ein Fachexperte mit den entsprechenden Kenntnissen aufgenommen werden. Insbesondere bezüglich der Branchenkompetenz kann es hilfreich sein, für unterschiedliche Bereiche auch unterschiedliche Fachexperten hinzuzuziehen (z. B. als Mitglied des Prüfteams oder im Rahmen von Interviews).
Ein Prüfer muss weisungsfrei und unvoreingenommen die Prüfung durchführen. Er muss die Prüfungsergebnisse nachvollziehbar dokumentieren können. Jedes Prüfteam muss aus mindestens zwei Prüfern bestehen. Alle Mitglieder des Teams dürfen aus Gründen der Unabhängigkeit und Neutralität vorher nicht unmittelbar im geprüften Bereich beratend oder auch ausführend, z. B. bei der Erstellung von Konzepten oder der Konfiguration von IT-Systemen tätig gewesen sein. Der Leiter des Prüfteams darf nicht mehr als zwei aufeinanderfolgende Prüfungen bei derselben Anlage durchführen.