Bundesamt für Sicherheit in der Informationstechnik

Prüfverfahrens-Kompetenz für § 8a (3) BSIG

Hintergrund

Das BSI bietet zur Kompetenzentwicklung im Bereich "Zusätzliche Prüfverfahrens-Kompetenz für § 8a BSIG" ein einheitliches Schulungspaket und Rahmenbedingungen an, in dem die Besonderheiten in Bezug auf die Prüfung Kritischer Infrastrukturen vermittelt werden. Dabei soll auf die bereits vorhandene Prüfverfahrens-, IT-Sicherheits- und Branchenkompetenz der Prüfer aufgebaut und diese um spezielle Aspekte nach § 8a BSIG ergänzt werden. Die Fortbildung basiert auf den Empfehlungen der "Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG". Die Fortbildung ist in vier Module und eine Prüfung unterteilt:

  • Modul 1: Das IT-Sicherheitsgesetz
  • Modul 2: Die BSI-Kritisverordnung
  • Modul 3: Die Prüfgrundlage
  • Modul 4: Die Prüfnachweise nach IT-Sicherheitsgesetz
  • sowie eine Abschlussprüfung

Den Betreibern Kritischer Infrastrukturen wird durch die Schulungen von Prüfern, die anschließend die Zusatzqualifikation "Zusätzliche Prüfverfahrens-Kompetenz für § 8a BSIG" nachweisen können, ermöglicht, auf geeignete prüfende Stellen und Prüfer zuzugreifen. Das BSI bietet den Betreibern an, eine Liste von geeigneten Prüfern, die die Prüfungskompetenz § 8a BSIG erworben haben, zur Verfügung zu stellen.

Im Rahmen der Fortbildung werden keine Kenntnisse in Prüfverfahrens-, IT-Sicherheits- oder Branchenkompetenz vermittelt, diese müssen auf herkömmlichem Weg erworben werden.

Multiplikatoren-Workshops

Zur Initiierung des Schulungsprozesses führt das BSI "Multiplikatoren-Workshops" durch, an denen Referenten von Schulungsanbietern teilnehmen können, um ein einheitliches Verständnis bezüglich der "Zusätzlichen Prüfverfahrens-Kompetenz für § 8a BSIG" zu erlangen. Außerdem können hier gemeinsam mit dem BSI Beispiele, Aufgaben und Schulungsmethoden entwickelt werden. Dazu wird das BSI 2017 Multiplikatoren-Workshops anbieten.

Es werden vor allem Schulungsanbieter oder Verbände angesprochen, die IT-Sicherheitsschulungen anbieten und Auditoren, Interne Revisoren oder Wirtschaftsprüfer ausbilden.

Die Schulungsanbieter können erfahrene Referenten anmelden, die über die nötige fachliche Qualifikation, d. h. praktische Auditerfahrung und IT-Sicherheits-Know-how, verfügen. Damit möglichst viele Schulungsanbieter erreicht werden, sollten bei den ersten Multiplikatoren-Workshops maximal zwei Referenten je Anbieter angemeldet werden.

Grafik zum Nachweis der "Zusätzlichen Prüfverfahrenskompetenz § 8a BSIG" Abbildung 1: Nachweis der "Zusätzlichen Prüfverfahrenskompetenz § 8a BSIG" Quelle: Bundesamt für Sicherheit in der Informationstechnik