KRITIS-Prüfungen nach PS 860 PH 9.860.2

PrintMailRate-it

​KRITIS-Gesetzgebung

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist am 25. Juli 2015 als Artikelgesetz in Kraft ge­treten und wird derzeit novelliert. Als Kernbestandteil sehen die damit eingefügten §§ 8a und 8b des Gesetzes über das Bundesamt für Sicher­heit in der Informationstechnik (BSI-Gesetz/BSIG) vor, dass infor­mations­technische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen1 maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen abzusichern und, dass erhebliche IT-Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind.

 

Das bedeutet einerseits, dass Betreiber Kritischer Infrastrukturen  besondere Pflichten erfüllen müssen; andererseits haben sie aber auch besondere Rechte, die sich aus den §§ 3 Absatz 3 und 8b Absatz 2 Nummer 4 BSIG ergeben. Sie beinhalten insbesondere die privilegierte Beratung sowie die Bereitstellung von Informationen zu „Kritischen Gefährdungen und Lagebildern” durch das BSI.

 

Die Implementierung eines Information Security Management System (ISMS) unterstützt Sie maßgeblich dabei alle Pflichten als Betreiber einer Kritischen Infrastruktur zu erfüllen. Dadurch werden neben IT-technischen Aspekten auch die anderen wesentlichen Einflussfaktoren auf die Informationssicherheit adäquat berücksichtigt, u.a. die organisatorische und personelle, aber auch die physische Sicherheit. Ein solches ISMS kann sich an gängigen Normen und Standards orientieren, z.B. der DIN ISO/IEC27001 oder dem IT-Grundschutz.
 

Welcher Ansatz für Ihr Unternehmen der passende ist, lässt sich in einem Beratungsgespräch klären. Essenziell ist in jedem Fall, dass u.a. folgende, KRITIS-spezifischen Aspekte bei der Implementierung des ISMS berücksichtigt werden:

  • Scope-Definition: Es ist eindeutig zu bestimmen, welche Bestandteile der Infrastruktur als Kritische Infrastrukturen gelten.
  • Kontaktstelle: Der Betreiber einer Kritischen Infrastruktur muss eine zentrale Kontaktstelle zum Austausch von Informationen mit dem BSI bereitstellen.
  • Die Angemessenheit von Sicherheitsmaßnahmen ist im Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur zu bewerten und ggf. mit dem BSI abzustimmen.

 

Richtiges Vorgehen bei der Prüfung: Effektivität und Wirtschaftlichkeit sichern

Das Institut der Wirtschaftsprüfer (IDW) hat gemeinsam mit dem BSI einen Prüfkatalog ergänzend zum IDW Prüfungsstandards 860 entwickelt, der für KRITIS-Betreiber Soll-Vorgaben definiert und als Mindeststandard für KRITIS-Prüfungen verwendet werden kann.

 
Die Prüfung erfolgt demnach auf Basis des IDW Prüfungshinweises PH 9.860.2. Eine so durchgeführte Prüfung der nach § 8a Abs. 1 BSIG umzusetzenden Maßnahmen kann als Angemessenheitsprüfung oder zusätzlich als Wirksamkeitsprüfung erfolgen. Die Durchführung von Wirksamkeitsprüfungen sind gemäß der Orientierungshilfe des BSI notwendig, um die Erfüllung der Anforderungen aus § 8a Abs. 1 BSIG durch ein Nachweisdokument belegen zu können.

 
Für die Prüfung müssen Kriterien definiert werden, auf deren Basis eine Beurteilung erfolgen kann. Der entsprechend erforderliche Prüfkatalog sollte bestenfalls auf Basis eines von Betreibern Kritischer Infrastrukturen und ihre Branchenverbände entwickelten und vom BSI bestätigten Branchen­spezi­fischen Sicherheitsstandards (B3S) erstellt werden.

 

Die Erbringung der Prüfungsleistung erfolgt in mehreren Schritten:
  • Ermittlung aller zur Erbringung der kritischen Dienstleistung relevanten Unternehmensprozesse und Organisationsbereiche sowie die notwendigen IT- Infrastrukturbestandteile, Systeme und Komponenten und die Zusammenfassung dieser Daten in einer eindeutigen Scope-Definition für den betreffenden KRITIS-Geltungsbereich.
  • Erstellung des Prüfkataloges für den festgelegten KRITIS-Geltungsbereich.
  • Durchführung der Prüfung auf Basis des Prüfkataloges für den im Scope-Dokument definierten Geltungsbereich und Bewertung der Umsetzungsreife der getroffenen Maßnahmen.
  • Schwerpunkte der Prüfung sind die nachfolgenden Themenbereiche. Sie wurden aus der „Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG” abgeleitet und basieren auf dem „Anforderungskatalog Cloud Computing (C5)” des BSI:
    • Informationssicherheitsmanagementsystem
    • Asset Management
    • Risikoanalysemethode
    • Notfallmanagement
    • Technische Informationssicherheit
    • Personelle und organisatorische Sicherheit
    • Bauliche/Physische Sicherheit
    • Vorfalls-Erkennung und -Bearbeitung
    • Überprüfung im laufenden Betrieb
    • Externe Informationsversorgung und Unterstützung
    • Lieferanten, Dienstleister und Dritte
    • Meldewesen
  • Im Ergebnis der Prüfung erfolgt die Erstellung eines Maßnahmenkatalogs, um die identifizierten Risiken zu behandeln und damit Umsetzungslücken zu schließen.

 

Prüfungsdurchführung

Mit den folgenden Methoden arbeiten wir bei der Prüfung:
  • Mündliche Befragung (Interview)
  • Inaugenscheinnahme von Systemen, Orten, Räumlichkeiten und Gegenständen
  • Dokumentenanalyse (auch elektronische Daten wie Logs etc.)
  • Technische Vor-Ort-Prüfung (z. B. Alarmanlagen, Zutrittskontrollen)
  • Fragebögen
  • Einbeziehung bestehender Nachweise

 

Vorteile aus der Zusammenarbeit mit uns

Die mittelständisch geprägte Rödl & Partner-DNA bringt für Sie im Zusammenhang mit Informationssicherheitsprojekten zahlreiche Vorteile mit sich:

  • Konsequente Ausrichtung von Prüfungs- und Einführungsprojekten an den gesetzlichen und Unternehmens- Anforderungen
  • Themenübergreifende, interdisziplinäre Sichtweise bei der Maßnahmen- Prüfung und Umsetzung – sowohl fachlich/technische, als auch wirtschaftliche und juristische Themen werden adäquat berücksichtigt
  • Kombination und Einbindung mit bzw. von anderen Leistungen aus dem Bereich Informationssicherheit, u.a.:
    • ISO27001- oder ISIS12-Einführungsberatung
    • Informationssicherheitsaudits im Rahmen der JAP
    • Stellung externen Informationssicherheitsbeauftragten

   

1 Eine „kritische Infrastruktur” ist eine Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung ist.

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00
+49 221 9499 099 00

Anfrage senden

Contact Person Picture

Falk Hofmann

IT-Auditor

+49 30 810 795 84

Anfrage senden

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu