Anforderungskatalog für KRITIS-Betreiber und Prüfer

Der vorliegende Anforderungskatalog bietet Betreibern Kritischer Infrastrukturen (KRITIS-Betreibern) und prüfenden Stellen eine Konkretisierung der Anforderungen des § 8a Absatz 1 BSIG. Zudem stellt der Anforderungskatalog den prüfenden Stellen geeignete Kriterien für eine sachgerechte Prüfung der eingesetzten Sicherheitsvorkehrungen vor, um die geforderten Nachweise gemäß § 8a Absatz 3 BSIG erbringen zu können.

Dieser Anforderungskatalog wurde in Zusammenarbeit mit dem Fachausschuss für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) auf Basis des C5 2016 entwickelt. Das BSI bedankt sich für die angenehme und gelungene Zusammenarbeit mit den Mitgliedern der Arbeitsgruppe „IT-Sicherheitsgesetz“ des FAIT.

Weiterführende Informationen und beispielhafte Prüfungshandlungen für eine sachgerechte Prüfung auf Grundlage dieses Anforderungskatalogs enthält der IDW-Prüfungshinweis: Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Absatz 1 und § 8a Absatz 1a BSIG umzusetzenden Maßnahmen (IDW PH 9.860.2 n. F.).

Hinweis:
Einige aktuelle Veröffentlichungen des BSI sind in dem Anforderungskatalog für KRITIS-Betreiber und Prüfer noch nicht berücksichtigt. Insbesondere die in der Publikation GAiN (Grundsätzliche Anforderungen im Nachweisverfahren) beschriebenen Anforderungen sowie die Anforderungen an den Einsatz von Systemen zur Angriffserkennung sind nicht enthalten. Diese und ggf. weitere aktuelle Anforderungen müssen selbständig ergänzt werden.
Eine Fortschreibung des Anforderungskatalogs ist geplant.