In den beiden letzten Beiträgen (hier und hier) über Kritische Infrastrukturen haben wir beleuchtet, dass die Betreiber Kritischer Infrastrukturen verpflichtet sind, bis zum 03.05.2018 „[…] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten und Prozesse“[1] zu treffen und diese Vorkehrungen gegenüber dem Bundesamt für Sicherheit (BSI) in der Informationstechnik nachzuweisen. Bereits erläutert haben wir, welche Standards genutzt werden können.
Wer darf KRITIS-Betreiber prüfen?
Eine „prüfende Stelle“ muss bestimmte fachliche und organisatorische Anforderungen erfüllen. Sie stellt dann das Prüfteam zusammen, das die eigentliche Prüfung vornimmt.
Die Aufgabe der prüfenden Stelle sind eng mit den Anforderungen der ISO/IEC 27006 „Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems“ verbunden. Danach sollen die Prüfungen unabhängig, unparteilich, neutral und weisungsfrei durchgeführt werden. Die erforderlichen Prozesse (z. B. Qualitätssicherungsverfahren, Prüfprozess) müssen eingeführt, umgesetzt und in Konzepten dokumentiert sein. Die Art und der Umfang der Prüfungshandlungen und -ergebnisse sind einheitlich, sachlich und ordnungsgemäß zu dokumentieren.
Schon aus den Anforderungen wird klar, dass dazu akkreditierte Zertifizierungsstellen der DAkkS, zertifizierte IT-Sicherheitsdienstleister oder anerkannte Prüfstellen beim BSI gut passen. Zusätzlich eignen sich die „exotischen“ externen Quality Assessments gemäß „Internationalen Standards für die berufliche Praxis der Internen Revision“ (IIA)10 bzw. DIIR-Revisionsstandard Nr. 3 „Prüfung von internen Revisionssystemen (Quality Assessments)“ und die zugelassenen Wirtschaftsprüfer bei der IDW. Als dritte Möglichkeit (sofern keine prüfende Stelle zur Verfügung steht) ist im Ausnahmefall und nach Rücksprache mit dem BSI auch ein individueller Nachweis der Eignung einer prüfenden Stelle durch Selbsterklärung möglich.
Anerkannte oder akkreditierte Stellen müssen nachweisen, dass ein Mitarbeiter der prüfenden Stelle sowie alle Prüfer des Prüfteams die „Spezielle Prüfkompetenz für § 8a BSIG“ besitzen. Das Prüfteam muss alle Kompetenzanforderungen abdecken. Von Bedeutung sind hierbei die „Spezielle Prüfverfahrens-Kompetenz“ und die „Branchen-Kompetenz“.
Spezielle Prüfverfahrens-Kompetenz für § 8a BSIG kann durch Zusatzqualifikation (ein Ausbildungskonzept ist noch in der Bearbeitungsphase beim BSI) oder durch Erklärung mit nachvollziehbarem Nachweis der gleichwertigen Prüfverfahrenskompetenz bestätigt werden.
Branchen-Kompetenzen sind durch Zeugnisse oder Bescheinigungen eines Dritten über die Berufserfahrung mit Übersicht über die durchgeführten Tätigkeiten (mindestens 3 Jahre in den letzten 5 Jahren) nachzuweisen.
Damit beschließen wir unsere kleine Reihe zum IT-Sicherheitsgesetz für Kritische Infrastrukturen.