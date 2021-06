Gleich mehrere aktualisierte Dokumente für Betreiber sowie Prüfer von Kritischen Infrastrukturen (KRITIS, etwa Energie, Ernährung, Gesundheit, Kommunikation, Verwaltung und andere) stellt das Bundesamt für Sicherheit in der Informationstechnik auf seiner Webseite zur Verfügung. Für etliche Betreiber kritischer Infrastrukturen steht im Sommer 2021 der zweite Nachweiszyklus nach BSI-Gesetz und der KRITIS-Verordnung an. Denn sie sind gesetzlich dazu verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig den Stand der Technik ihrer IT-Sicherheitsmaßnahmen nachweisen.

Lesen Sie auch Bundesrat lässt IT-Sicherheitsgesetz 2.0 zähneknirschend passieren

Die Erfahrungen der letzten Jahre hat die Behörde nun in die Hilfestellungen eingearbeitet und sowohl die Nachweisformulare als auch den Einreichungsprozess optimiert. So fasst das neue Formular P mehrere alte Formulare (PD, PE, PS) zusammen und löst sie ab. Überarbeitet wurde auch die Orientierungshilfe zu Nachweisen als Unterstützung für Betreiber und Prüfer sowie die Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (OH B3S).

Remote-Prüfungen sind genau zu dokumentieren

Wie in Pandemiezeiten mit Vorortprüfungen umzugehen ist, hat die Behörde bereits Anfang Mai veröffentlicht. So können Prüfer derzeit einige Remote-Überprüfungen vornehmen, diese unterliegen aber speziellen Dokumentationspflichten. Auch eine Muster-Mängelliste finden die Prüfer auf der Webseite.

Ergänzt werden die neuen Orientierungshilfen und Formulare durch "Lessons Learned" aus dem Bereich "Nachweisprüfungen im Finanz- und Versicherungswesen" und einer allgemeinen Betrachtung der Qualität der Prüfungen und der Nachweise. Letztere mündete in drei Initiativen zur Verbesserung der Qualität der Nachweise: die Formulierung übergreifender Anforderungen im Nachweisprozess, die Konkretisierung des Stands der Technik für ausgewählte KRITIS-Branchen und schließlich die Förderung der KRITIS-spezifischen Qualifikation der Prüfer.

(ur)