Eine prüfende Stelle für Nachweise gemäß § 8a Absatz 3 BSIG ist eine geeignete Institution, die vom KRITIS-Betreiber beauftragt wird, festzustellen, ob der KRITIS-Betreiber angemessene Vorkehrungen gemäß § 8a Absatz 1 BSIG getroffen hat.

Ausführliche Informationen zum Nachweisverfahren und zur Rolle der prüfenden Stelle finden Sie in unserer Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG.

Verbindliche Anforderungen zum Nachweisverfahren entnehmen Sie den entsprechenden Dokumenten nach §8a Absatz 5 BSIG.

Eignung

Eine prüfende Stelle ist geeignet, wenn die folgenden Kriterien erfüllt sind:

• Die prüfende Stelle muss mögliche verbindliche Anforderungen § 8a Absatz 5 BSIG1 erfüllen.
• Die erforderlichen Prozesse der prüfenden Stelle (z. B. Informationssicherheitsmanagementsystem (ISMS), Qualitätssicherungsverfahren, Dokumentations- und Aufzeichnungsverfahren, Archivierungs- und Backupkonzept, Prüfprozess) müssen eingeführt, umgesetzt und in Konzepten dokumentiert sein.
• Die prüfende Stelle muss jede Prüfung nach einem dokumentierten Prüfprozess durchführen. Das einheitliche Verständnis von Abweichungen ist für die Bewertung der Mängel zwingend erforderlich. Wird ein Sicherheitsmangel als schwerwiegende Abweichung bewertet, sind die Ursachen zu analysieren und nachvollziehbar zu dokumentieren.
• Es muss sichergestellt sein, dass jede Prüfung unabhängig und unparteilich, neutral und weisungsfrei erfolgt.
• Die Einhaltung der ethischen Grundsätze (siehe Anhang A) muss sichergestellt sein.
• Die Art und der Umfang der Prüfungshandlungen und -ergebnisse werden einheitlich, sachlich und ordnungsgemäß dokumentiert.

• Es werden ausreichend kompetente personelle Ressourcen und geeignete Infrastrukturen zur Verfügung gestellt. Eine prüfende Stelle muss

  • mindestens über einen Leiter und einen Stellvertreter verfügen, um geplante und ungeplante Ausfälle der Leitung kompensieren zu können,
  • Prüfungsverfahren in einer angemessenen Zeit durchführen,
  • sichere Infrastruktur, Systeme, Anwendungen und eine sichere IT-Netzstruktur nachweisen können.

• Die prüfende Stelle verfügt über einen festgelegten Prozess zur Ermittlung der Kompetenz des Prüfteams und anderer an der Durchführung von Prüfungen beteiligten Personen (z. B. Fachexperten). Hierfür müssen folgende Kompetenzen im Prüfteam vorhanden sein:

  • belastbares Wissen im Bereich der Informationssicherheit,
  • Branchenkenntnisse und technisches Wissen im Bereich der Erbringung der kritischen Dienstleistungen des geprüften KRITIS-Betreibers,
  • belastbares Wissen im Bereich Managementsysteme und insbesondere Informationssicherheitsmanagementsysteme (ISMS)
  • detaillierte Kenntnisse der Anforderungen an Prüfungen nach § 8a Absatz 3 BSIG.

Damit die Qualität der Prüfergebnisse vergleichbar ist, sollten die Prüfungen im Rahmen der Nachweise auf der Grundlage gängiger Normen und Standards durchgeführt werden. Die Einhaltung der Anforderungen an die prüfende Stelle und die Umsetzung der Prozesse sollte durch eine unabhängige Instanz kontrolliert werden.
In vielen Fällen unterliegen die prüfenden Stellen einem Akkreditierungsregime.
Sollte eine prüfende Stelle nicht unter die Auflistung fallen, ist ein individueller Nachweis der Eignung durch eine Selbsterklärung für prüfende Stellen gegenüber dem BSI erforderlich.