Ist Ihr Unternehmen KRITISch? Prüfnachweise nach § 8a BSIG für Kritische Infrastrukturen

​veröffentlicht am 27. April 2018

Für Betreiber Kritischer Infrastrukturen stehen zum 03. Mai 2018 bzw. 30. Juni 2019 Fristen zur Abgabe von Prüfnachweisen beim BSI (Bundesamt für Sicherheit in der Informationstechnologie) an). Es ist daher wichtig zu wissen, ob man als Unternehmen unter die KRITIS-Verordnung fällt und welche Anlagen betroffen sind. Ansonsten drohen Konsequenzen seitens des Gesetzgebers.

​[IT-Sicherheitsgesetz, BGBl. vom 17. Juli 2015]

Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen für die Bevölkerung eintreten würden.

Konkret betrifft dies Unternehmen der folgenden Branchen:

• Sektoren 1: Energie, Wasser, Ernährung, Informations- und Kommunikationstechnik
• Sektoren 2: Finanz- und Versicherungswesen, Gesundheit, Transport und Verkehr

Als Kritische Infrastrukturen gelten nicht ganze Unternehmen oder Abteilungen, sondern Anlagen, die eine für die Bevölkerung kritische (Dienst-) Leistungen erbringen. Um kritisch zu gelten, muss diese Anlage einen bestimmten Schwellwert überschreiten. Anlagen unterhalb dieses Schwellwerts müssen zum heutigen Zeitpunkt noch nicht beachtet werden. Im Bereich Gesundheit sehen die Schwellwerte u.a. wie folgt aus:

• 30.000 vollstationäre Fälle pro / Jahr
• Herstellung oder Abgabe von Medizinprodukten mit einem Umsatz von mehr als 90.680.000 EUR / Jahr
• 34.000 in Verkehr gebrachte Blutkonserven / Jahr

Die Schwellwerte sind relativ hoch, so dass im Bereich der Krankenhäuser v.a. Universitätskliniken oder Maximalversorger betroffen sind. Es ist daher davon auszugehen, dass in den kommenden Jahren der Schwellwert nach unten angepasst wird, um eine breitere Basis als Kritische Infrastrukturen zu definieren und somit mehr Versorgungssicherheit zu ermöglichen.

Für die Branchen aus den Sektoren 1 muss zum Stichtag 03. Mai 2018 und für aus den Sektoren 2 zum 30. Juni 2019 die Erfüllung der Anforderungen nachgewiesen werden. Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen auf geeignete Weise nachzuweisen. Eine Zertifizierung nach ISO 27.001 ist hierbei nicht ausreichend, da bei einer ISO-Zertifizierung bestimmte Risiken in Kauf genommen werden können, bei einer Kritischen Infrastruktur dies aber explizit ausgeschlossen ist. Auch müssen der Geltungsbereich (Scope) der ISO-Zertifizierung und der Kritischen Infrastruktur nicht deckungsgleich sind.

Der Definition des Scopes kommt eine große Bedeutung zu. Der Scope umfasst die informations-technischen Systeme, Komponenten und Prozesse, Rollen sowie Personen, die für die Funktionsfähigkeit der vom Betreiber betriebenen Kritischen Infrastruktur maßgeblich sind, oder auf diese Einfluss haben.

Zum Geltungsbereich gehören immer die Systeme, Komponenten und Prozesse

• der kritischen Dienstleistung (kDL),
•  die die kDL direkt unterstützen und
• von denen die kDL indirekt abhängig ist,

z.B. bei deren Ausfall, Störung, Angriff, es zu einer Beeinträchtigung der kDL kommen könnte.

Der Scope sollte nicht zu groß gewählt werden, da sich hierdurch automatisch der Aufwand für den Prüfnachweis nach §8a BSIG deutlich erhöht, auf der anderen Seite darf er aber auch nicht zu klein gewählt sein, um nicht Kritische Infrastrukturen zu vergessen.
Ein großes Problem ist zum aktuellen Zeitpunkt, dass es bis auf den Bereich Wasser noch keinen einheitlichen Branchenstandard gibt, gegen den man prüfen könnte. Bisher gibt es noch keine eingereichten Prüfberichte, es ist aber davon auszugehen, dass die Berichte aufgrund fehlender offizieller Prüfkriterien und einer größeren Anzahl von Prüfstellen extrem unterschiedlich ausfallen werden und sich die Berichte auch bei Häusern vergleichbarer Art unterscheiden werden unterschiedlich ausfallen werden.

Auch Rödl & Partner ist als Prüfer für Prüfnachweise nach § 8a BSIG zugelassen. In Zusammenarbeit mit dem Institut der Wirtschaftsprüfer (IDW) und dem BSI erstellen wir aktuell einen Prüfkriterienkatalog, welcher als Mindeststandard für KRITIS-Prüfungen gelten soll, so dass die Prüfungen auch bei unterschiedlichen Prüfgesellschaften vergleichbar sind und ein gewisses Mindestniveau erfüllen.