Als Betrei­ber einer kri­ti­schen Infra­struk­tur müs­sen sie dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) alle zwei Jah­re nach­wei­sen, dass sie das Min­dest­ni­veau an IT-Sicher­heit sicher­stel­len. Je nach­dem, wel­che kri­ti­sche Infra­struk­tur sie betrei­ben, hat der Gesetz­ge­ber die ers­ten Nach­weis­fris­ten auf den 3. Mai 2018, bzw. auf den 26. Sep­tem­ber 2019 fest­ge­setzt.

Die­ser Nach­weis wird in Form eines Prüf­be­richts erbracht. Die Prü­fung muss durch einen qua­li­fi­zier­ten Prü­fer erfol­gen, der die attes­tier­te Befä­hi­gung besitzt, Prü­fun­gen gem. §8a (3) des BSI-Geset­zes durch­zu­füh­ren.

Vor der eigent­li­chen Prü­fung muss die Prüf­grund­la­ge fest­ge­legt und der Prüf­plan auf­ge­stellt wer­den. Wenn sie einen bran­chen­spe­zi­fi­schen Sicher­heits­stan­dard (B3S) mit Eig­nungs­fest­stel­lung des BSI ver­wen­den, ver­ein­facht das die Fest­le­gung der Prüf­grund­la­ge erheb­lich. Ansons­ten muss die Prüf­grund­la­ge zunächst gemein­sam mit dem Betrei­ber der kri­ti­schen Infra­struk­tur defi­niert und abge­stimmt wer­den.

Der anschlie­ßend zu erstel­len­de Prüf­plan legt das Prüf­team, die Prüf­ob­jek­te, die Prüf­zie­le sowie die beab­sich­tig­te Prüf­me­tho­de fest.

Die Prü­fung selbst begut­ach­tet die vor­lie­gen­den Doku­men­ta­tio­nen über die ange­streb­ten Sicher­heits­stan­dards und deren prak­ti­sche Umset­zung. Abschlie­ßend wer­den die erfor­der­li­chen Nach­weis­do­ku­men­te, wie z. B. die BSI-For­mu­la­re und der Prüf­be­richt erstellt.

Gern füh­ren wir die Prü­fung nach § 8 (a) BSIG mit Ihnen durch und unter­stüt­zen Sie mit der Exper­ti­se unse­rer Fach­leu­te beim Infor­ma­ti­ons­aus­tausch mit dem BSI.