Prüfung nach §8a BSIG

Der KRITIS-Betreiber hat, um seiner Nachweispflicht gegenüber dem BSI nachzukommen, eine prüfende Stelle zu beauftragen, die ein geeignetes, qualifiziertes und unabhängiges Prüfungsteam zusammenstellt und eine Prüfung gemäß § 8a BSIG durchführt. Die prüfende Stelle erstellt den Großteil der notwendigen Nachweisformulare, insbesondere durch Darstellung der Prüfungsergebnisse in Form einer Mängelliste und stellt diese dem KRITIS-Betreiber zur Verfügung. Die Nachweisformulare inklusive der Auflistung der Sicherheitsmängel sowie dem zugehörigen Maßnahmenplan, welcher durch den KRITIS-Betreiber zu erstellen ist, stellt der KRITIS-Betreiber dem BSI abschließend zur Verfügung.

Prüfungsvorgehen

Als zertifizierte IT-Auditoren (z.B. CISA, IT-Security-Auditor, ISO/IEC 27001 Lead Auditor, IT-Auditor IDW, Interner Revisor DIIR etc.) sind uns unterschiedliche Best Practice Prüfungsmethoden und -vorgehen bekannt. Dabei legen wir stets sehr viel Wert auf ein methodisches und gut vorbereitetes Vorgehen. Dies beinhaltet eine detaillierte Prüfungsplanung mit entsprechender Vor-Ort-Prüfung und vordefinierten Fristen für die Bereitstellung der Nachweisformulare und des Prüfungsberichts.

Bewährt hat sich insbesondere eine zweistufige Prüfung analog der ISO/IEC 27001 Zertifizierung. In einem ersten Schritt wird die allgemeine Prüfungsbereitschaft festgestellt und erste Dokumente gesichtet. Hierbei geht es insbesondere darum den Geltungsbereich nachvollziehbar darzustellen, sowie Prüfungsgrundlage, -schwerpunkte und -termine anhand der festgelegten Prüfungsplanung zu bestätigen.

In Stufe 2 findet die Vor-Ort-Prüfung durch unser Prüfungsteam statt. An der Prüfung sind stets mindestens zwei Prüfer beteiligt, wobei wir Ihnen einen zentralen Ansprechpartner, Ihren Kümmerer, zur Seite stellen.

Bei der Prüfung orientieren wir uns eng an den Vorgaben des BSI, um die Prüfung qualitativ hochwertig, aber dennoch schlank und effizient durchzuführen. Damit verhindern wir zeitaufwendige Nachfragen des BSI im Nachgang der Prüfung, welche zu Mehrarbeit auf allen Seiten führt. Gleichzeitig wollen wir uns durch die enge Orientierung an den BSI-Vorgaben zur erhöhten Vergleichbarkeit der Ergebnisse beitragen.

Inhaltliche Prüfungsschwerpunkte sind durch die gewählte Prüfungsgrundlage gegeben. Neben den vom BSI vorgesehenen Schwerpunktthemen Informationssicherheitsmanagement und Business Continuity Management (BCM) sind weitere Schwerpunktthemen im Rahmen einer KRITIS-Prüfung grundsätzlich denkbar. Unsere Prüfungen planen wir stets risikoorientiert. Hierbei haben wir die kritische Dienstleitung immer im Blick und verlieren uns nicht im Kleinklein. Unsere Mandanten schätzen uns aufgrund unserer pragmatischen und gleichzeitig fachlich herausragenden Sichtweisen.

Enge Abstimmung zwischen KRITIS-Betreiber und Prüfender Stelle

Für die Durchführung der Prüfung legen wir ein geordnetes Projektmanagement zugrunde. Ausgehend von dem geplanten Projektende planen wir die einzelnen Schritte und Meilensteine rückwärts, damit sichergestellt wird, dass alle Fristen eingehalten werden. Hierfür planen wir folgende Rahmenbedingungen:

Frühzeitiger Auftakttermin für die Prüfung, idealerweise mind. 3-4 Monate vor der Prüfung
Prüfungsphase 1 mit Dokumentenprüfung und Prüfung des Geltungsbereichs ca. 6 Wochen vor der eigentlichen Prüfung
Prüfungsphase 2 als Vor-Ort-Prüfung mit Interviews und Ortsbegehungen
1-2 Wochen Zeit zur Prüfung der Mängelliste
Die einzureichenden Unterlagen stehen 2-3 Arbeitstage nach Abstimmung der Mängelliste zur Verfügung.
Der Bericht zur Prüfung ist spätestens 14 Tage nach Übermittlung der einzureichenden Unterlagen fertiggestellt.

Wir legen sehr viel Wert auf die direkte Kommunikation. Nach jedem Prüfungsabschnitt und bereits während der Prüfung besprechen wir mit unseren Mandanten Zwischenergebnisse und deren Auswirkungen, sodass bei der Übermittlung der Mängelliste keine bösen Überraschungen erwartet werden. Hierdurch lassen sich Missverständnisse verhindern und etwaige fehlende Unterlagen oder Nachweise frühzeitig identifizieren.