Prüfung nach §8a (3) BSIG – KRITIS

Betreiber kritischer Dienstleistungen (kDL) sind nach der aktuell geltenden BSI-Kritisverordnung (BSI-KritisV) verpflichtet, einen angemessenen Stand der Technik nachzuweisen, um die Versorgungssicherheit der Bevölkerung nicht zu gefährden.

Die Auditoren der KonzeptAcht GmbH besitzen die entsprechende Prüfverfahrenskompetenz, um diese gesetzlich vorgegebene Prüfung durchführen zu können.

Unser Vorgehen

Unsere Prüfer prüfen Ihr ISMS nach den Vorgaben des Bundesamt für Sicherheit in der Informationstechnik (BSI). Hierbei halten wir uns an die Vorgaben, die sich aus der „Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG“ und dem Dokument „Nachweisdokumente und Einreichungsblätter für Betreiber Kritischer Infrastrukturen“ ergeben.

Die zugehörige Prüfgrundlage wird mit unseren Kunden zusammen festgelegt und auf Wunsch vorab mit der Prüfenden Stelle und dem BSI abgestimmt.

Da die KonzeptAcht GmbH keine eigene Prüfende Stelle betreibt, arbeiten wir hier mit unserem Partner, der TÜV TRUST IT GmbH zusammen.

Geprüft werden gemäß Vorgabe die folgenden Themen:

Nachweise über

  • die Anlage,
  • die vom KRITIS-Betreiber erbrachten Teile der kritischen Dienstleistung,
  • die Teile der kritischen Dienstleistung, die von externen Dienstleistern erbracht werden (z. B. Auslagerung),
  • das Zusammenspiel mit anderen Systemen,
  • die Schnittstellen und Abhängigkeiten,
  • informationstechnische Systeme, Komponenten, Prozesse sowie
  • Rollen, Personen und Organisationseinheiten , die für die Funktionsfähigkeit der erbrachten kritischen Dienstleistung erforderlich sind.

Für die Dokumentenprüfung sollten KRITIS-Betreiber dem Prüfer z. B. folgende Dokumente bereitstellen

  • Sicherheitskonzept (inkl. Darstellung umgesetzter und geplanter Maßnahmen, insbesondere der branchenspezifischen Maßnahmen und der aus der kDL abgeleiteten KRITIS- Schutzziele)
  • Beschreibung des Informationssicherheitsmanagementsystems (ISMS)
  • Notfallkonzept und Beschreibung des Continuity Managements
  • Dokumente des Asset Managements
  • Dokumentation der Prozesse zur baulichen und physischen Sicherheit (z. B.
  • Zutrittskontrolle oder Brandschutzmaßnahmen)• Dokumentation der personellen und organisatorischen Sicherheit (z. B. Aufzeichnungen über Mitarbeiterschulungen, Sensibilisierungskampagnen, Berechtigungsmanagement)
  • Konzepte und Dokumentation zur Vorfallserkennung und -bearbeitung (z. B. Beschreibung zu Incident Management, Detektion von Angriffen, Forensik)
  • Konzepte und Dokumentation von Überprüfungen (z. B. Prüfberichte der internen Revision sowie anderer durchgeführter Audits, Übungen, systematische Log- Auswertungen usw.)
  • Richtlinien zur externen Informationsversorgung
  • Richtlinien zum Umgang mit Lieferanten und Dienstleistern (z. B. Service Level Agreements und andere die Sicherheit betreffende Vereinbarungen mit Dienstleistern)

Der Prüfbericht wird nach dem Audit an den Kunden übergeben. Die entsprechenden Nachweisformulare an die Prüfende Stelle versandt. Unser Kunde ist dafür verantwortlich, alle Nachweisdokumente final an das BSI zu versenden.

Unsere Werkzeuge

Zur Prüfung Ihres ISMS nutzen wir die folgenden Werkzeuge:

  • KonzeptAcht Vorgehensweise zur Auditierung eines ISMS gemäß §8a (3) BSIG
  • Werkzeuge und Checklisten zur Auditierung eines ISMS
  • Nachweisdokumente und Formulare des BSI

Ihr Nutzen

  • Unabhängige Auditierung Ihres ISMS
  • Langjährige Erfahrung aller Auditoren aus aktuellen Zertifizierungsaudits und regelmäßigen Erfahrungsaustauschen der Auditoren
  • Auditoren mit den folgenden Kompetenzen
    • ISO/IEC 27001:2013 Lead Auditor (DAkkS Berufung)
    • Auditteamleiter für ISO 27001 Audits auf der Basis von IT-Grundschutz (BSI Berufung)
    • BSI IS-Revisoren / IS-Berater (BSI Berufung)
    • Auditor gemäß Abschnitt 4 des Konformitätsbewertungsprogramms nach §11 Abs. 1a EnWG
    • Auditor „Smart Meter Gateway Administrator“ für BSI TR-03109-6
    • Prüfverfahrenskompetenz für §8a BSIG
    • Certified Information Systems Auditor (CISA)
    • Certified in Risk and Information Systems Control (CRISC)