Prüfnachweis nach §8a BSIG

Kontakt

Betreiber Kritischer Infrastrukturen (KRITIS) müssen gemäß §8a BSIG die Aktualität Ihrer IT-Sicherheit nach Stand der Technik alle 2 Jahre nachweisen.

Der Nachweis erfolgt dabei laut BSI-Kritisverordnung (BSI-KritisV) durch eine entsprechende Prüfung gem. §8a BSIG. Die Nachweisdokumente zu den Prüfungen dürfen ausschließlich durch sog. „prüfende Stellen“ mit einer speziellen Eignung erstellt werden. Verlassen Sie sich auf SOCOTEC-Experten als Prüfer für die Einhaltung von §8a BSIG.

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Unter anderem wird aus diesem Grund ein gesetzlicher Nachweis von Betreiber Kritischer Infrastrukturen gefordert.


Die folgende Übersicht beantwortet wichtige Fragen zur Nachweiserbringung gemäß §8a BSIG.

image background

Sprechen Sie mit unseren Experten

Aykut BADER

Aykut BADER

Managing Director, SOCOTEC Certification Deutschland

Managing Director, SOCOTEC Certification Deutschland

certification.deutschland@socotec.com

§8a BSIG Anforderungen für Unternehmen:

Wortlaut des § 8a BSIG (fett markiert sind die Änderungen des BSIG aufgrund des Umsetzungsgesetzes zur NIS-Richtlinie) :

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der „Stand der Technik“ eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt:

  • im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
     
  • im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach Absatz 1 begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.


Wer muss §8a BSIG umsetzen?

§ 8a Absatz 1 BSIG (Sicherheitsvorkehrungen) und § 8a Absatz 3 BSIG (Nachweise) müssen von den Betreibern Kritischer Infrastrukturen gemäß BSIG erfüllt werden.

Wer Betreiber einer Kritischen Infrastruktur im Sinne des BSIG ist, wird in der Rechtsverordnung nach § 10 BSIG (BSI-KritisV) konkretisiert. Hierin sind qualitative Kriterien (welche Anlagekategorien sind Kritische Infrastrukturen?) und quantitative Kriterien (ab welchen Schwellenwerten sind Anlagen eine Kritische Infrastruktur im Sinne des Gesetzes?) zur Bestimmung der Kritischen Infrastrukturen festgelegt.

Die BSI-KritisV wird in zwei „Körbe“ unterteilt, die jeweils einen Teil der KRITIS-Sektoren näher bestimmen. Der 1. Korb ist am 3. Mai 2016 in Kraft getreten und regelt die Sektoren Energie, Wasser, Ernährung sowie IT und TK. Der zweite Korb trat am 30.06.2017 in Kraft. Er bestimmt die Kritischen Infrastrukturen in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen.

image background

Ausnahmen von §8a BSIG

Kritische Betreiber, die ausgenommen sind

it-iso-27001

Von den Regelungen nach § 8a BSIG sind Betreiber nach § 8d Absätze 1 und 2 BSIG ausgenommen (fett ausgezeichnet sind die Änderungen des BSIG aufgrund des NIS-RL-Umsetzungsgesetzes):

(1) Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EC der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36). Artikel 3 Absatz 4 des Anhangs der Empfehlung ist nicht anzuwenden.

(2) § 8a ist nicht anzuwenden auf :

  • Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,
  • Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 3 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung, soweit sie den Regelungen des § 11 des Energiewirtschaftsgesetzes unterliegen,
  • die Gesellschaft für Telematik nach § 291a Absatz 7 Satz 2 des Fünften Buches Sozialgesetzbuch und § 291b des Fünften Buches Sozialgesetzbuch, Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 291b Absatz 1a und 1e des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach § 291b Absatz 1b des Fünften Buches Sozialgesetzbuch
    bestätigte Anwendungen nutzen,
  • Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 2 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich
    der Genehmigung sowie
  • sonstige Betreiber Kritischer Infrastrukturen, soweit sie auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind.

Von den Regelungen nach § 8a BSIG sind Betreiber nach § 8d Absätze 1 und 2 BSIG ausgenommen (fett ausgezeichnet sind die Änderungen des BSIG aufgrund des NIS-RL-Umsetzungsgesetzes):

(1) Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EC der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36). Artikel 3 Absatz 4 des Anhangs der Empfehlung ist nicht anzuwenden.

(2) § 8a ist nicht anzuwenden auf :

  • Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,
  • Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 3 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung, soweit sie den Regelungen des § 11 des Energiewirtschaftsgesetzes unterliegen,
  • die Gesellschaft für Telematik nach § 291a Absatz 7 Satz 2 des Fünften Buches Sozialgesetzbuch und § 291b des Fünften Buches Sozialgesetzbuch, Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 291b Absatz 1a und 1e des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach § 291b Absatz 1b des Fünften Buches Sozialgesetzbuch
    bestätigte Anwendungen nutzen,
  • Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 2 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich
    der Genehmigung sowie
  • sonstige Betreiber Kritischer Infrastrukturen, soweit sie auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind.

Umsetzungsfristen des §8a BSIG

single quote

Stichtage und Anforderungen an die Erneuerung

Wie sind die Fristen zu verstehen?

Die Umsetzung angemessener organisatorischer und technischer Vorkehrungen nach dem Stand der Technik gemäß § 8a Absatz 1 BSIG muss spätestens zwei Jahre nach Inkrafttreten des jeweiligen Korbes der BSI-KritisV gegenüber dem BSI nachgewiesen werden.

Für den ersten Korb mit den Sektoren Energie, Wasser, Ernährung sowie IT und TK war der späteste Termin für die Umsetzung und der Nachweiserbringung der 3. Mai 2018, für den zweiten Korb mit den Sektoren Finanzen und Versicherungen, Gesundheit sowie Transport und Verkehr der 30. Juni 2019. Der Nachweis gemäß § 8a Absatz 3 BSIG ist danach alle zwei Jahre erneut zu erbringen.

 

Nachweis gemäß §8a BSIG: Normal- oder Krisenbetrieb?

single quote

Anforderungen an den Regelbetrieb und die Bewältigung von Krisenlagen

Geht es bei dem Nachweis um den Regel- oder Krisenbetrieb?

An erster Stelle geht es bei den Anforderungen gemäß § 8a BSIG darum, den normalen Betrieb einer Kritischen Infrastruktur abzusichern, also den „Normallagen“.

Der Reaktion auf besondere Ereignisse ist dabei ebenfalls Rechnung zu tragen (z. B. Fortsetzen des Betriebs bei Stromausfall) „Krisenlagen“. Krisenlagen müssen gemäß § 8a BSIG ausdrücklich dort adressiert werden, wo andere gesetzliche Vorgaben von den betroffenen Kritischen Infrastrukturen auch ein Funktionieren in Krisenlagen verlangen.

Was bedeutet §8a Abs. 4 BSIG für mich als KRITIS-Betreiber (Tiefenprüfung) ?

Das BSI hat gemäß § 8a Absatz 4 BSIG die Möglichkeit, zu überprüfen, ob Betreiber Kritischer Infrastrukturen die Anforderungen nach § 8a Absatz 1 BSIG erfüllen. Diese Prüfungen werden im Folgenden als Tiefenprüfungen bezeichnet.

Eine Tiefenprüfung ist ein eigenständiger Prüfvorgang, der sich von der Nachweispflicht nach § 8a Absatz 3 BSIG unterscheidet: Das BSI wendet sich bei einer Tiefenprüfung an den betreffenden KRITIS-Betreiber und überprüft, ob dieser die Anforderungen gemäß § 8a Absatz 1 BSIG einhält. Eine Tiefenprüfung bezieht sich nicht auf die bereits erbrachten Nachweise und der KRITIS-Betreiber muss keine weiteren Prüfer beauftragen. Tiefenprüfungen können anlassbezogen und anlassunabhängig durchgeführt werden.
Auslöser können z. B. zufällige Stichproben sein oder Unstimmigkeiten der gemäß § 8a Absatz 3 BSIG eingereichten Unterlagen, die das BSI beim Betreiber klären möchte.

Eine Tiefenprüfung kann Prüfhandlungen enthalten, die beim Betreiber vor Ort durchgeführt werden. Gemäß § 8a Absatz 4 BSIG hat ein Betreiber Kritischer Infrastrukturen dem BSI zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten.

Im ersten Schritt der Prüfung fordert das BSI bei dem zu prüfenden KRITIS-Betreiber eine Reihe von Dokumenten an.
Welche dies im Detail sind, geht aus dem versendeten Anschreiben hervor.

Das BSI kann eine Gebühr für die Tiefenprüfung erheben. Dies geschieht immer dann, wenn berechtigte Zweifel an der Umsetzung des § 8a Absatz 1 BSIG bestehen (siehe § 8a Absatz 4 BSIG). Sollten Gebühren erhoben werden, wird der KRITIS-Betreiber darüber in Kenntnis gesetzt.

image background

Tiefenprüfung gemäß § 8a BSIG

Anforderungen, Dokumente und mögliche Gebühren für KRITIS-Betreiber

about-us-woman-vertical

Für welchen Bereich der Kritischen Infrastruktur gelten die Ausnahmeregelungen des §8d BSIG?

§ 8d BSIG (Anwendungsbereich) regelt unter anderem auch Ausnahmen von der Anwendung der §§ 8a und 8b BSIG für KRITIS-Betreiber, die ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen sowie für Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes.

Die gesetzlichen Ausnahmen beziehen sich nicht auf alle Anlagen eines Betreibers, sondern nur „soweit“ die Regulierung durch andere Gesetze erfolgt.

Die Ausnahmen betreffen daher ausschließlich die Anlagen bzw. Teile der Kritischen Infrastruktur, die unter das TKG, das EnWG oder sonstige in § 8d BSIG aufgeführten gesetzlichen Regelungen fallen.

Für welchen Bereich der Kritischen Infrastruktur gelten die Ausnahmeregelungen des §8d BSIG?

§ 8d BSIG (Anwendungsbereich) regelt unter anderem auch Ausnahmen von der Anwendung der §§ 8a und 8b BSIG für KRITIS-Betreiber, die ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen sowie für Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes.

Die gesetzlichen Ausnahmen beziehen sich nicht auf alle Anlagen eines Betreibers, sondern nur „soweit“ die Regulierung durch andere Gesetze erfolgt.

Die Ausnahmen betreffen daher ausschließlich die Anlagen bzw. Teile der Kritischen Infrastruktur, die unter das TKG, das EnWG oder sonstige in § 8d BSIG aufgeführten gesetzlichen Regelungen fallen.

Warum SOCOTEC?

Mit SOCOTEC Certification erbringen Sie den geforderten Nachweis!

SOCOTEC Certification Deutschland GmbH erfüllt als DAkkS-akkreditierte Zertifizierungsstelle die Anforderungen einer prüfenden Stelle nach BSI.

Wir haben Püfer:innen mit langjähriger Erfahrung in der Auditierung von Managementsystemen und Anlagen kritischer Infrastrukturen. Sie verfügen zusätzlich über die entsprechende Prüfverfahrenskompetenz für § 8a (3) BSIG. Branchenexperten runden unser Profil ab.

Beachten Sie bitte auch die Webseiten des BSI

Unsere Vorgehensweise:

  • Planung und Vorbereitung der Prüfung
  • Enge Abstimmung zwischen KRITIS-Betreiber und SOCOTEC Certification Deutschland GmbH zur Prüfgrundlage
  • Stellung von Branchenexperten
  • Durchführung der Prüfung zur Nachweiserbringung
  • Erstellung der vom BSI geforderten Nachweisdokumente

Erfahren Sie mehr über unser Zertifizierungsverfahren

Eine Prüfung oder weitere Informationen anfordern

image background

Sprechen Sie mit unseren Experten

Aykut BADER

Aykut BADER

Managing Director, SOCOTEC Certification Deutschland

Managing Director, SOCOTEC Certification Deutschland

certification.deutschland@socotec.com
certificate-transfer

Umstellung auf ISO/IEC 27001:2022

bridge-kritis

Informationssicherheit für KRITIS