Datum 02.07.2020

Ende Mai hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Internetseite einen Katalog zur Konkretisierung der Anforderungen des § 8a Absatz 1 BSIG veröffentlicht. Dieser bietet Betreibern Kritischer Infrastrukturen (KRITIS-Betreibern) und prüfenden Stellen eine Hilfestellung für eine sachgerechte Prüfung der eingesetzten Sicherheitsvorkehrungen zur Erbringung der geforderten Nachweise gemäß § 8a Absatz 3 BSIG.

Im Unterschied zu einem Branchenspezifischen Sicherheitsstandard (B3S) gemäß § 8a Absatz 2 BSIG enthält der Katalog branchenübergreifende Anforderungen. Gleichzeitig stellt er einen sachgerechten Ausgangspunkt dar, um die Anforderungen gemäß § 8a Absatz 1 BSIG zu konkretisieren. Damit kann er eine sinnvolle Hilfe bei der Planung und Durchführung von Nachweisprüfungen sein. Natürlich kann und muss der Betreiber bzw. die prüfende Stelle entscheiden, ob diese Anforderungen für den konkreten Anwendungsfall passend sind, angepasst werden müssen oder ob zusätzliche, weiterführende Anforderungen notwendig sind.

Der Anforderungskatalog wurde in Zusammenarbeit mit dem Fachausschuss für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer in Deutschland e. V. (IDW) auf Basis des C5:2016 (Cloud Computing Compliance Criteria Catalogue) entwickelt.

Weiterführende Informationen und beispielhafte Prüfungshandlungen für eine sachgerechte Prüfung auf Grundlage dieses Anforderungskatalogs enthält der IDW Prüfungshinweis: Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen (IDW PH 9.860.2).