Blogbeitrag
07.06.2023

von
Jörg Michalzik

Zum 8. Mai 2023 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anforderungen zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach § 8a Absatz 3 BSIG - Prüfungen von KRITIS-Anlagen (Kritische Infrastrukturen) festgelegt. Anforderungen sind die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie weitere fachliche und organisatorische Anforderungen an die prüfende Stelle. Die Einhaltung dieser Anforderungen dient als Grundlage der ordnungsgemäßen Umsetzung der §§ 8a ff. BSIG.

Wesentlicher Ausgangspunkt stellt hier die Unabhängigkeit der prüfenden Stelle und Prüfer dar. Die prüfende Stelle sowie die Mitglieder des Prüfungsteams müssen gegenüber dem Betreiber der zu prüfenden KRITIS-Anlage bzw. des Anlagenteils unternehmensfremd sowie rechtlich und wirtschaftlich unabhängig sein.1 Die Einhaltung dieser Unabhängigkeits-anforderungen ist dem BSI über ein zur Verfügung gestelltes Formular schriftlich zu bestätigen.

Als prüfende Stelle können auch Interne Revisionen eingesetzt werden, die und deren Mitarbeitenden nicht grundsätzlich rechtlich und wirtschaftlich unabhängig sind. Voraussetzungen sind das Vorliegen eines angemessenen und wirksamen Revisionssystems und die Wirksamkeit der Internen Revision durch die Einhaltung internationalen Standards für die berufliche Praxis des IIA2. Hierzu ist der Nachweis3 durch ein Quality Assessment nach IDW PS 983 oder DIIR Revisionsstandard Nr. 3 zu erbringen.

Insbesondere werden Regelungen zur Einhaltung des Vier-Augen-Prinzips bei Durchführung der Prüfungen, zur Dokumentation des Prüfungsergebnisses sowie des Geltungsbereichs festgelegt. Dazu kommen die Berücksichtigung alter Mängellisten in Prüfung und Nachweis sowie die Angabe von Vorlagen für Bestandteile eines Nachweises nach § 8a Absatz 3 BSIG.

Die Regelungen zur Wahrung des Vier-Augen-Prinzips sehen vor, dass jedem Prüfungssachverhalt als Teil aller Prüfungssachverhalte mindestens zwei Prüfer zugewiesen werden. Keine der dafür zugewiesenen und beteiligten Personen darf mehr als 2/3 der gesamten aufsummierten zeitlichen Prüfungsanteile zur Prüfung des Sachverhalts überschreiten. Hiermit soll eine annähernde Gleichverteilung der Arbeitsquantität für den Prüfungssachverhalt erfolgen. Die Regelungen erfordern demnach ein fortwährendes Monitoring der relativen Aufteilung der Prüfungsstunden je beteiligten Mitarbeiter je Prüfungssachverhalt.

Diese meisten Anforderungen treten mit Wirkung zum 1. Juni 2023 bzw. einzelne Anforderungen zum 1. Januar 2024 in Kraft.

 

1 Als untauglich gelten Stellen, die über geteilte Unternehmens- oder Konzernstrukturen mit dem Betreiber verbunden sind.

2 Institute of Internal Auditors

3 Nachweis muss einen Auszug einer positiven Gesamtaussage zur Wirksamkeit beinhalten, der Internen Revision bzw. prüfenden Stelle zugeordnet werden können und belegen, dass das zugrundeliegende Quality Assessment nicht mehr als fünf Jahre gegenüber dem Abschluss der Prüfung der KRITIS-Anlage oder des Anlagenteils zurückliegt.

zurück