Als Betreiber einer kriti­schen Infra­struktur müssen sie dem Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) alle zwei Jahre nachweisen, dass sie das Mindest­niveau an IT-Sicherheit sicher­stellen. Je nachdem, welche kritische Infra­struktur sie betreiben, hat der Gesetz­geber die ersten Nachweis­fristen auf den 3. Mai 2018, bzw. auf den 26. September 2019 festge­setzt.

Dieser Nachweis wird in Form eines Prüfbe­richts erbracht. Die Prüfung muss durch einen quali­fi­zierten Prüfer erfolgen, der die attes­tierte Befähigung besitzt, Prüfungen gem. §8a (3) des BSI-Gesetzes durch­zu­führen.

Vor der eigent­lichen Prüfung muss die Prüfgrundlage festgelegt und der Prüfplan aufge­stellt werden. Wenn sie einen branchen­spe­zi­fi­schen Sicher­heits­standard (B3S) mit Eignungs­fest­stellung des BSI verwenden, verein­facht das die Festlegung der Prüfgrundlage erheblich. Ansonsten muss die Prüfgrundlage zunächst gemeinsam mit dem Betreiber der kriti­schen Infra­struktur definiert und abgestimmt werden.

Der anschließend zu erstel­lende Prüfplan legt das Prüfteam, die Prüfob­jekte, die Prüfziele sowie die beabsich­tigte Prüfme­thode fest.

Die Prüfung selbst begut­achtet die vorlie­genden Dokumen­ta­tionen über die angestrebten Sicher­heits­stan­dards und deren praktische Umsetzung. Abschließend werden die erfor­der­lichen Nachweis­do­ku­mente, wie z. B. die BSI-Formulare und der Prüfbe­richt erstellt.

Gern führen wir die Prüfung nach § 8 (a) BSIG mit Ihnen durch und unter­stützen Sie mit der Expertise unserer Fachleute beim Infor­ma­ti­ons­aus­tausch mit dem BSI.