Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) müssen gemäß § 8a Absatz 1 BSIG ihre Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind, gegenüber dem BSI auf geeignete Weise nachweisen.

Nachweispflichtig sind alle Betreiber Kritischer Infrastrukturen mit Ausnahme der in § 8d Absatz 2 BSIG genannten.

Betreiber Kritischer Infrastrukturen müssen gemäß BSI-KritisV jährlich prüfen, ob ihre Anlagen nachweispflichtig sind. Bis zum 31. März sollte geprüft werden, ob Anlagen im vergangenen Kalenderjahr die jeweiligen Schwellenwerte überschritten haben. Bei einer Überschreitung des Schwellenwertes gilt die Anlage ab dem 1. April als kritische Dienstleistung. Die Anlage ist somit nachweispflichtig und sollte umgehend im BSI registriert werden.

Für jede nachweispflichtige Infrastruktur bzw. Anlage müssen KRITIS-Betreiber Nachweisdokumente beim BSI einreichen. Diese umfassen sowohl allgemeine Informationen über Art und Umfang der durchgeführten Prüfungen als auch eine Liste der aufgedeckten Sicherheitsmängel. Betreiber einer Kritischen Infrastruktur im Sinne von § 2 Absatz 10 BSIG haben alle zwei Jahre einen Nachweis über ihre Kritischen Anlagen zu erbringen.

Diese Seite gibt einen Überblick darüber, was in Bezug auf die Erbringung von Nachweisen gemäß § 8a Absatz 3 BSIG zu beachten ist.

Nachweisdokumente
Zur Erbringung des Nachweises nutzen Sie die Nachweisformulare und Vorlagen des BSI.

Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG
Die Seite beschreibt grundlegende Rahmenbedingungen zur Erbringung geeigneter Nachweise. In der Orientierungshilfe zu Nachweisen werden unter anderem die daran beteiligten Rollen und deren Aufgaben in der Nachweiserbringung beschrieben. Auf der Seite werden auch die Formulare zur Einreichung von Nachweisen zum Download angeboten.

Anforderungen gemäß § 8a Absatz 5 BSIG
Für das Nachweisverfahren im Allgemeinen sind die Anforderungen gemäß § 8a Absatz 5 BSIG - Grundsätzliche Anforderungen im Nachweisverfahren (GAiN) zu beachten.

Betreiber Kritischer Infrastrukturen der Anlagenkategorie 2.1.1 Rechenzentrum unterliegen zudem weiteren Anforderungen zur Umsetzung der Nachweisführung nach § 8a Abs. 3 BSIG hinsichtlich der Validierung und Darstellung des Geltungsbereichs.

Um die Bearbeitung zu vereinfachen, bitten wir um Einreichung der Nachweisunterlagen ausschließlich per E-Mail oder über das Bundesportal. Dort finden Sie das Online-Formular unter dem Namen "Kritische Infrastrukturen: Einhaltung des Standes der Technik nachweisen". Eine Benutzeranleitung für die digitale Einreichung der Nachweisdokumente im Bundesportal steht Ihnen im Melde- und Informationsportal (MIP) zur Verfügung. Eine zusätzliche Übersendung der Nachweisunterlagen auf dem Postweg ist nicht erforderlich.

Häufig gestellte Fragen und Antworten zu § 8a BSIG hat das BSI in den zugehörigen FAQ beantwortet.