GAP-Analyse: Sind Sie bereit für die Kritis-Prüfung?

Gemäß den Anforderungen des BSI haben Betreiber kritischer Infrastrukturen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Dienstleistung maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Die Konkretisierungen der Anforderungen durch Gesetzgebung und das BSI (vgl. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen vom 28.02.2020), die alle zwei Jahre neu einzureichenden Branchenspezifischen Sicherheitsstandards (B3S) und nicht zuletzt auch der technologische Fortschritt erfordern eine regelmäßige Gegenüberstellung der Anforderungen mit den umgesetzten Maßnahmen. Um während der KRITIS-Prüfung im Zuge des Nachweisverfahrens gemäß § 8a BSIG keine negativen Überraschungen zu erleben, werden häufig vorab Workshops bzw. „Gap-Analysen” durchgeführt.

Das Ziel einer solchen Gap-Analyse ist die Identifikation von erheblichen bzw. schwerwiegenden Abweichung hinsichtlich der Anforderungen des BSI und des Stand der Technik. In Form einer kursorischen Prüfung werden alle typischen Prüffelder einer KRITIS-Prüfung beleuchtet. Der Ansatz ermöglicht eine Vertiefung in den Bereichen, die bisher noch nicht auditiert wurden oder bei welchen Maßnahmen ggf. erst kürzlich initiiert oder umgesetzt wurden und einer richtungsweisenden Bestandsaufnahme erzogen werden sollen. Frühzeitig können dann Schwachstellen in der organisatorischen oder der technischen Umsetzung identifiziert werden und Handlungsstränge zur Verbesserung aufgezeigt werden.

Die kursorische Prüfung in Form eines Workshops eignet sich hervorragend als Basis für die Planung und Umsetzung nachfolgender Maßnahmen und lässt sich gut erweitern, indem konkrete Maßnahmenpläne erarbeitet werden, der dazugehörige Aufwand geplant und die Umsetzung prüferisch begleitet wird. Workshops dieser Art erfreuen sich insbesondere bei Betreibern kritischer Infrastrukturen großer Beliebtheit, wenn das erste Audit gemäß § 8a BSIG oder ein Prüferwechsel bevorsteht.

Typischerweise werden folgende Inhalte im Rahmen des Workshops besprochen:

• Einführung, Erwartungen und Ziele
• Das Nachweisverfahren des BSI und Aktuelles in der KRITIS-Gesetzgebung
• Vorstellung der Unternehmenstätigkeit des KRITIS-Betreibers
• Analyse des Geltungsbereichs und Schutzbedarfsfeststellung
• Vorstellung der Anforderungen des BSI (z.B. BSI Prüfkriterienkatalog/ B3S o.ä.)
• Durchführung der GAP-Analyse anhand der Prüffelder der festzulegenden Prüfgrundlage

Ein einleitender theoretischer Teil soll sicherstellen, dass ein gemeinsames Verständnis für die Anforderungen des BSI geschaffen wird und die Unternehmenstätigkeit und die maßgebliche kritische Dienstleistung bestmöglich verstanden wird. Danach findet die Analyse der Umsetzung maßgeblicher Anforderungen des BSI statt. Dabei erfolgt die Identifikation von Schwachstellen in Verfahren, Prozessen, Systemen und IT-Komponenten. Der Workshop soll sicherstellen, dass die Anforderungen des BSI und die Prüfungsschwerpunkte in einem etwaigen § 8a BSIG Nachweisverfahren verständlich sind und der KRITIS-Betreiber nachvollziehen können, in welchen Bereichen wesentliche Verbesserungsmöglichkeiten bestehen.

Zum Ende des zweiten Workshoptages sollten wesentliche Mängel aufgrund unangemessener Verfahren und Kontrollen identifiziert sein. Gemeinsam mit dem Betreiber werden angemessene Maßnahmen auf Basis der identifizierten Mängel erarbeitet.

Sind Sie von der Kritis-Verordnung betroffen und möchten die fundierte Meinung eines erfahrenen Kritis-Prüfers zu den bereits initiierten und umgesetzten Maßnahmen bei Ihnen im Haus? Wir unterstützen Sie gerne bei der Vorbereitung auf das bei Ihnen bevorstehende Nachweisverfahren.