Als Betreiber einer kriti­schen Infra­struktur müssen Sie dem Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) alle zwei Jahre nachweisen, dass sie das Mindest­niveau an IT-Sicherheit sicher­stellen. Dieser Nachweis wird in Form eines Prüfbe­richts erbracht, der sich an den Vorgaben des BSI orien­tiert. Die Prüfung muss durch einen quali­fi­zierten Prüfer erfolgen, der die attes­tierte Befähigung besitzt, Prüfungen gem. §8a (3) des BSI-Gesetzes durchzuführen.

Vor der eigent­lichen Prüfung muss die Prüfgrundlage festgelegt und der Prüfplan aufge­stellt werden. Wenn Sie einen branchen­spe­zi­fi­schen Sicher­heits­standard (B3S) mit Eignungs­fest­stellung des BSI verwenden, verein­facht das die Festlegung der Prüfgrundlage erheblich. Zudem können bestehende Zerti­fi­zie­rungen, die nicht älter als ein Jahr sind, im Rahmen der Prüfung berück­sichtigt werden, z. B. ISO27001 oder PCI DSS.

Der anschließend zu erstel­lende Prüfplan legt das Prüfteam, die Prüfob­jekte, die Prüfziele sowie die beabsich­tigte Prüfme­thode fest.

Die Prüfung selbst begut­achtet die vorlie­genden Dokumen­ta­tionen über die angestrebten Sicher­heits­stan­dards und deren praktische Umsetzung. Abschließend werden die erfor­der­lichen Nachweis­do­ku­mente, wie z. B. die BSI-Formulare und der Prüfbe­richt erstellt.

Gern führen wir die Prüfung nach § 8 (a) BSIG mit Ihnen durch und unter­stützen Sie mit der Expertise unserer Fachleute beim Infor­ma­ti­ons­aus­tausch mit dem BSI.