Nachweis über die Einhaltung des Standes der Technik für Betreiber Kritischer Infrastrukturen Überprüfung
Bund
•
99118022074000
•
Typ 1
Inhalt
Begriffe im Kontext
Fachlich freigegeben am
Fachlich freigegeben durch
Wenn Sie Kritische Infrastrukturen betreiben, müssen Sie nachweisen, dass die Sicherheit Ihrer Informationstechnik dem Stand der Technik entspricht. Nachweise müssen Sie alle 2 Jahre beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einreichen.
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Wenn diese Anlagen ausfallen oder beeinträchtigt werden, kann dies zu Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen. Daher ist der regelmäßige Nachweis über die Einhaltung des Standes der Technik gesetzlich vorgeschrieben. Zu KRITIS zählen beispielsweise folgende Sektoren:
- Energie,
- Gesundheit,
- Informationstechnik und Telekommunikation,
- Transport und Verkehr,
- Wasser,
- Finanz- und Versicherungswesen,
- Ernährung,
- Siedlungsabfallentsorgung.
Als Betreiber Kritischer Infrastrukturen müssen Sie dafür sorgen, dass die Sicherheit Ihrer für den Betrieb elementaren informationstechnischen Systeme, Komponenten und Prozesse jeweils dem Stand der Technik entspricht. Dies müssen Sie mindestens alle 2 Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen.
Um Ihre Informationstechnik vor Ausfall und Angriffen von außen zu schützen, müssen Sie organisatorische und technische Maßnahmen und Vorkehrungen treffen. Dies umfasst auch den Einsatz von Systemen zur Angriffserkennung.
Dies können Sie durch Sicherheitsaudits, Prüfungen oder Zertifizierungen von prüfenden Stellen dokumentieren lassen. Im nächsten Schritt übermitteln Sie dem BSI mithilfe eines Nachweisdokuments die Ergebnisse dieser durchgeführten Prüfungen einschließlich möglicher aufgedeckter Sicherheitsmängel.
Das BSI prüft anschließend, ob Ihre Vorkehrungen und Maßnahmen die gesetzlichen Anforderungen erfüllen. Das BSI kann die Nachreichung von weiteren Prüfungsunterlagen und bei Sicherheitsmängeln die Beseitigung der Sicherheitsmängel verlangen.
- Nachweisdokument KI: Angaben zum Betreiber, zur geprüften Kritischen Infrastruktur und Ansprechperson
- Nachweisdokument P: Angaben zur Prüfung.
- muss von einem oder einer zur Unterschrift berechtigten Beschäftigten der prüfenden Stelle unterzeichnet sein.
- muss folgende Angaben enthalten:
- Abschnitt PD: Angaben zur Durchführung der Prüfung
- Anlage PD.A: Beschreibung und grafische Darstellung des Geltungsbereichs der Prüfung
- Anlage PD.B: Informationen zum Ablauf der Prüfung
- Anlage PD.C: Beschreibung der Prüfgrundlage
- Abschnitt PE: Angaben zum Prüfergebnis und zu den aufgedeckten Sicherheitsmängeln
- Anlage PE.A: Liste der Sicherheitsmängel inklusive Umsetzungsplan
- Abschnitt PS: Angaben zur Eignung der prüfenden Stelle und zum Prüfteam
- Anlage PS.A: Nachweis oder Nachweise der Qualifikation zusätzliche Prüfverfahrenskompetenz für § 8a BSIG oder ein gleichwertiger Kompetenznachweis
- Anlage PS.A: Nachweis oder Nachweise der Qualifikation zusätzliche Prüfverfahrenskompetenz für § 8a BSIG oder ein gleichwertiger Kompetenznachweis
- Abschnitt PD: Angaben zur Durchführung der Prüfung
- Sie betreiben Kritische Infrastruktur
- Sie sind entsprechend beim BSI registriert
- Sie verfügen über eine entsprechende Betreiber-ID/ Institutions-ID
Sie können Ihre Nachweise über den Online-Dienst, per verschlüsselter E-Mail oder auf dem Postweg einreichen.
Wenn Sie Nachweise über den Online-Dienst einreichen:
- Um den Online-Dienst nutzen zu können, benötigen Sie ein ELSTER- Organisationszertifikat und ELSTER-Unternehmenskonto.
- Rufen Sie das Bundesportal verwaltung.bund.de auf und füllen Sie den Online-Antrag aus.
- Sie können Ihre Unterlagen direkt hochladen.
- Das KRITIS-Büro des Bundesamts für Sicherheit in der Informationstechnik (BSI) prüft Ihre Angaben.
- Falls das KRITIS-Büro während der Prüfung Rückfragen an Sie hat oder Unterlagen nachfordert, meldet es sich per E-Mail bei Ihnen.
- Nach der formellen Prüfung sendet Ihnen das KRITIS-Büro per E-Mail eine Bestätigung und teilt Ihnen darin die neue Frist für Ihren nächsten Nachweis mit.
Wenn Sie Nachweise per verschlüsselter E-Mail einreichen:
- Laden Sie das Nachweisdokument KI auf der Internetseite des BSI herunter.
- Füllen Sie das Formular aus.
- Sie können das Formular entweder digital ausfüllen
- oder es zunächst ausdrucken und dann ausfüllen.
- Unterschreiben Sie das Formular.
- Senden Sie das Formular sowie Ihre Nachweisunterlagen per E-Mail an das KRITIS-Büro des BSI.
- Das KRITIS-Büro nimmt Ihre Nachweisunterlagen per verschlüsselter E-Mail entgegen.
- Zur Verschlüsselung verwenden Sie das S/MIME-Zertifikat des KRITIS-Büros auf der Internetseite des BSI.
- Die weiteren Schritte entsprechen dem Verfahren des Online-Dienstes.
Wenn Sie Nachweise auf dem Postweg einreichen:
- Laden Sie das Nachweisdokument KI auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik herunter.
- Sie können das Formular entweder digital ausfüllen und ausdrucken,
- oder es zunächst ausdrucken und dann ausfüllen.
- Unterschreiben Sie das Formular und ergänzen Sie die notwendigen Nachweisunterlagen.
- Senden Sie Ihren Nachweis an das KRITIS-Büro des BSI.
- Alle weiteren Schritte entsprechen dem Verfahren des Online-Dienstes.
- Allgemeine Informationen zur Nachweispflicht für Betreiber Kritischer Infrastrukturen auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik (BSI)
- Dokumente und Materialien zur Nachweiserbringung auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik (BSI)
- Orientierungshilfe zu Nachweisen auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik (BSI)
- FAQ zu Nachweisen auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik (BSI)
- Informationen zur Nutzung eines bestehenden ISO-27001-Zertifikats als Bestandteil eines Nachweises auf der Internetseite des Bundesamt für Sicherheit in der Informationstechnik (BSI)
- S/MIME-Zertifikat des KRITIS-Büros auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik (BSI)
- Nachweis über die Einhaltung des Standes der Technik für Betreiber Kritischer Infrastrukturen Überprüfung
- Betreiber Kritischer Infrastrukturen müssen fortlaufend Maßnahmen und Vorkehrungen für die Sicherheit und Funktionstüchtigkeit ihrer Anlagen treffen
- Betreiber Kritischer Infrastrukturen müssen alle 2 Jahre nachweisen, dass sie ausreichende Maßnahmen zum Schutz der Informationstechnik ihrer Anlagen nach dem Stand der Technik ergriffen haben
- Betreiber können den Stand der Technik der Anlagen überprüfen und dokumentieren lassen durch
- eine eigenständige Prüfung
- als Zusatz zu einer anderen Prüfung
- ISO 27001-Zertifizierung auf Basis von IT-Grundschutz
- ISO 27001-Zertifizierungsverfahren (nativ)
- Unternehmensinternes Sicherheitsaudit
- Wirtschaftsprüfung
- Prüfteams erstellen und unterzeichnen das Nachweisdokument P, das sie dem Betreiber aushändigen
- Betreiber senden den Nachweis gemeinsam mit weiteren Unterlagen an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Die Übermittlung der Nachweisdokumente ist möglich über
- den Online-Dienst,
- eine verschlüsselte E-Mail oder
- per Post
- zuständig: Bundesamt für Sicherheit in der Informationstechnik
Formulare vorhanden: Ja
Schriftform erforderlich: Ja
Formlose Antragsstellung möglich: Nein
Persönliches Erscheinen nötig: Nein
Online-Dienste vorhanden: Ja