Leider begleitet uns die COVID-19 Pandemie auch weiterhin.
Wie in unseren letzten News bereits mitgeteilt, stehen wir dauerhaft im regen Austausch mit Akkreditierungs-, Prüf- und Zertifizierungsstellen, um die Möglichkeiten in laufenden Prüf- und Zertifizierungsverfahren auszuloten und die Auswirkungen von COVID-19 so gering wie möglich zu halten.
Die folgenden Erkenntnisse konnten wir in den vergangenen Tagen sammeln:
Verfahren nach ISO 27001 auf der Basis von IT-Grundschutz – (Stand 28.12.2020)
- Das BSI hat entschieden, dass aufgrund der anhaltenden COVID-19 Lage neben den Überwachungs- und Rezertifizierungsaudits nun auch Erst-Zertifizierungen als reine Remote-Audits durchgeführt werden können. Das Auditteam muss dazu, neben den Unabhängigkeitserklärungen zum Verfahren, dem BSI eine formlose Risikobewertung vorlegen. Darin muss dargestellt werden, wie das Remote-Audit durchgeführt werden soll und welche Aspekte ggf. nicht ausreichend geprüft werden können.
- Die Zertifizierungsstelle prüft dann neben den bisherigen Antragsunterlagen auch die eingereichte Risikobewertung. Bei positiver Prüfung wird das Verfahren offiziell eröffnet und eine Zertifizierungskennung vergeben.
- Die Zertifizierungsstelle behält sich in Absprache mit dem Antragsteller eine teilweise Begleitung des Audits vor (vgl. Zertifizierungsschema, Kapitel 2.9). Dabei fungiert das BSI als „stiller Beobachter“ und ist während des Audits (bspw. bei strittigen Fragestellungen) außen vor zu lassen.
In der Kommunikation mit dem BSI versuchen wir die bestmöglichen Maßnahmen zusammen mit unseren Kunden auszuwählen. Es wird immer versucht, mögliche Fristen einzuhalten und eine lückenlose Ausstellung von Zertifikaten bei Re-Zertifizierungen zu gewährleisten. Wir sind bis jetzt immer auf ein sehr kulantes Vorgehen beim BSI gestoßen. Alle Verschiebungen oder Änderungen der Vorgehensweise sind weiterhin vorab mit dem BSI abzustimmen, entsprechende Vorlaufzeiten sollten eingeplant werden.
Verfahren nach ISO 27001 native – (Stand 04.05.2020)
Laut veröffentlichten FAQs der IAF, an die auch deutsche Akkreditierungsstellen gebunden sind, werden Remote-Audits in der COVID-19 Pandemie auch bis 100% Remote-Tätigkeit unterstützt.
Viele Zertifizierungsstellen geben allerdings zu bedenken, dass generell immer eine individuelle Abstimmung der Kunden und Auditoren mit den jeweils zuständigen Zertifizierungsstellen erforderlich ist. Das Verschieben von Audits für Zeiträume von nicht mehr als 6 Monaten ist ebenfalls weiterhin in Abstimmung zulässig. Die Remote-Tätigkeiten können aber Audits vor Ort nicht ersetzen, sofern diese durch Behörden oder andere Programmeigner vorgegeben sind.
Jede Überlegung zur Ausführung der Audittätigkeiten sollte unter risikobasiertem Ansatz erfolgen. Den Zertifizierungsstellen ist in der Regel durch den Antragsteller eine Risikoanalyse vorzulegen, aus der ersichtlich ist, dass ein Audit vor Ort nicht möglich ist.
Verfahren nach IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz – (Stand 02.11.2020)
In eigenen „Handlungsanweisungen zum Umgang mit den Risiken im Zusammenhang mit der Ausbreitung von SARS-CoV-2 für die Tätigkeit von Konformitätsbewertungsstellen im Bereich des IT-Sicherheitskatalogs für Betreiber von Strom- und Gasnetzen“, Stand 02.11.2020 wird noch einmal spezifiziert, dass der Anteil von Remote-Audits bei Überwachungsaudit 50% und bei Rezertifizierungsaudits 70% der Auditzeit nicht überschreiten darf. Ein vollständiger Ersatz der vor Ort Audits durch Remote-Audits ist ebenfalls nicht möglich.
Im Detail sagt die Handlungsanweisung folgendes aus (Auszug aus dem Originaldokument der DAkkS):
- „Eine Verschiebung anstehender Überwachungs- und Rezertifizierungsaudits für einen Zeitraum von nicht mehr als 6 Monaten entsprechend des Dokuments IAF ID 3:2011 ist auch für den Bereich des IT-Sicherheitskatalogs vorläufig zulässig;
- Der ausgefallene Audittermin ist schnellstmöglich nachzuholen, um die Erbringung des Nachweisen der Umsetzung des IT-Sicherheitskatalogs wieder in das reguläre Verfahren zu überführen;
- Die teilweise Durchführung der anstehenden Überwachungs- und Rezertifizierungsaudits durch „alternative Methoden“ beziehungsweise sogenannte Remote-Verfahren unter Berücksichtigung der Anforderungen des Dokuments IAF MD:4:2018 ist vorläufig zulässig. Durch Remote-Audits dürfen im Fall von Überwachungsaudits maximal 50% und im Fall von Rezertifizierungsaudits maximal 70% des Auditumfangs durchgeführt werden.
- In beiden Fällen muss durch den Kunden/Netzbetreiber detailliert nachgewiesen werden, dass die reguläre Durchführung des Audits angesichts der Corona Pandemie vor dem Hintergrund einer internen Risikobeurteilung nicht möglich ist. Die Bundesnetzagentur behält sich vor, sich von den Zertifizierungsunternehmen bzw. den Kunden/Netzbetreibern entsprechende Nachweise vorlegen zu lassen.
- Die Bundesnetzagentur ist durch die Zertifizierungsstellen über die Verschiebung von Rezertifizierungsaudits, und die damit einhergehende Verlängerung der Zertifizierung für einen Zeitraum von nicht mehr als 6 Monaten über das ursprüngliche Ablaufdatum hinaus, zu informieren.
Die DAkkS weist vorsorglich darauf hin, dass Ergebnisse von Konformitätsbewertungen nicht ohne Inaugenscheinnahme von Objekten/Prozessen erstellt werden können, wenn dies, wie im Konformitätsbewertungsprogramm der Bundesnetzagentur zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG, explizit gefordert ist. Sollte eine solche Inaugenscheinnahme (Audit, Inspektion, Prüfung vor Ort etc.) aufgrund der aktuellen Situation nicht möglich sein, kann keine Konformitätsbewertung vorgenommen werden. Es sind hier lediglich Verschiebungen zugrundeliegender Termine und etwaige Verlängerungen von Fristen für einen Zeitraum von nicht mehr als 6 Monaten möglich. Ein vollständiger Ersatz durch „alternative Methoden“ beziehungsweise sogenannte Remote-Audits ist nicht möglich.
Alle Maßnahmen, die von KBS aufgrund der Auswirkungen der Pandemie und auf Basis risikoorientierter Überlegungen als Alternative zur regulären Vorgehensweise durchgeführt werden, sind zu dokumentieren, zu begründen und der DAkkS auf Anfrage oder im Rahmen des Verfahrensmanagements zur Verfügung zu stellen.“
Einige unserer Kunden stehen aktuell in Kontakt mit der Bundesnetzagentur (BNetzA), um diese Vorgaben vor dem Hintergrund anhaltender Kontaktbeschränkungen in den Unternehmen zur Wahrung der Versorgungssicherheit und somit drohenden Aussetzungen von gesetzlich vorgeschriebenen Verfahren zu hinterfragen. Wir halten Sie an dieser Stelle über neue Erkenntnisse informiert.
Audits im Umfeld der TR-03109-6 – (Stand 23.03.2021)
Audits für Erst- bzw. Re-Zertifizierungen können wie Überwachungsaudits zum 100% per remote durchgeführt werden. Hierzu legt der verantwortliche Auditor, neben der üblichen Vorgehensweise im Kontext der BSI TR-03109-6, dem BSI vor Beginn der Audit-Phase 2 eine formlose Risikobewertung vor. Darin muss dargestellt werden, wie das Remote-Audit durchgeführt werden soll und welche Aspekte ggf. nicht ausreichend geprüft werden können. Bei der Risikobewertung sollten z. B. folgende Aspekte berücksichtigt werden: Vorliegen aller Dokumente für Auditphase 1, Größe des zu auditierenden Bereichs, Dislokation der Liegenschaften, Vorhandensein einer ISMS-Zertifizierung ggf. mit einem anderen Scope.
Das BSI prüft die vorab eingereichte Risikobewertung des Auditors. Bei positiver Prüfung kann das eigentliche Audit dann remote durchgeführt werden.
Risikobewertungen für die remote Durchführung von Überwachungsaudits sind nicht notwendig.
Zusätzlich weist das BSI weiterhin darauf hin, dass die „TR-Anforderung, dass der GWA grundsätzlich nicht von zu Hause oder mobil arbeiten darf“, „aus den bekannten Gründen derzeit ausgesetzt“ ist.
Prüfungen im Umfeld von §8a (3) BSIG und KritisV – (Stand 17.04.2020)
Nach aktuellen Informationen unserer Kunden erhalten diese derzeit Schreiben seitens des KRITIS-Büros mit der Information, dass das BSI davon ausgeht, das Personal der kritischen Infrastruktur für die Aufrechterhaltung der Versorgungssicherheit einzusetzen und nicht in Prüfungen zu binden. Das BSI sieht nach eigenen Aussagen derzeit davon ab, Mahnschreiben, Anordnungen und Zwangsgeldfestsetzungen zu versenden, um die Nachweiserbringung durchzusetzen. Es wird erwartet, dass die Vorlage der von März bis Juli 2020 fälligen Nachweise bis spätestens 5 Monate nach der bisherigen Fälligkeit beim BSI vorliegen. [Quelle: Anschreiben des Kritis-Büros an einen Kunden]
Auch die Durchführung von Remote-Audios soll möglich werden, die Begehung von kritischen Infrastrukturen muss dennoch durchgeführt und ggf. kurzfristig nachgeholt werden.
Laut BSI müssen die „Betreiber das Folgende tun:
- Wir benötigen eine Bestätigung des Managements über die ergriffenen Maßnahmen zur Pandemievorsorge, aus der deutlich wird, dass es derzeit keine Möglichkeit für die Auditoren gibt, die Vor-Ort-Prüfung durchzuführen. Diese ist von den Betreibern zusammen mit den restlichen Nachweisunterlagen einzureichen. Diese Bestätigung ist dem BSI monatlich unaufgefordert erneut vorzulegen, solange die Maßnahmen zur Pandemievorsorge in Kraft sind.
- Der Auditor führt die Prüfung bis auf die Vor-Ort-Prüfung vollständig durch und erstellt darüber die entsprechenden Nachweisunterlagen.
- Der Fakt, dass eine Vor-Ort-Prüfung nicht möglich war, muss dabei in der mit den Nachweisunterlagen eingereichten Mängelliste als entsprechend schwerwiegender Mangel auch vermerkt sein.“
[Quelle: E-Mail des Kritis-Büros auf unsere Anfrage]
Bitte stimmen Sie Ihre individuelle Vorgehensweise immer mit dem Kritis-Büro ab.
Fragen / Unterstützung?
Benötigen Sie Unterstützung in Ihren aktuellen Verfahren oder haben Sie Fragen zur weiteren Vorgehensweise? Sprechen Sie uns gerne an.
Wir wünschen Ihnen allen einen guten Start ins neue Jahr und bleiben Sie vor allem gesund!