KRITIS-Nachweise
Betreiber kritischer Infrastrukturen unterliegen unterscheidlicher Nachweispflichten. Als spezialisierter Prüfdienstleister unterstützen wir unsere Kunden bei der Erbringung von KRITIS-Nachweisen auf Basis von § 8a Abs. 3 BSIG und § 11 Abs. 1e EnWG.
Nachweisprüfungen von Experten
Unsere Auditoren bringen langjährige Erfahrung in beratender, betrieblicher oder prüfender Funktion in Organisationen aus dem Hochsicherheits- und KRITIS-Umfeld mit. Durch eine strenge Rechte- und Aufgabentrennung stellen wir sicher, dass unsere Auditoren unparteilich und frei von wirtschaftlichen Interessen agieren. Sie sind Wächter über die Einhaltung der Prüfgrundlagen und geben Impulse zur fortlaufenden Verbesserung.
Nachweisprüfung nach § 8a Abs. 3 BSIG
Unsere Leistungen im Überblick
Was ist das?
Betreiber Kritischer Infrastrukturen sind verpflichtet alle zwei Jahre einen Nachweis gegenüber dem BSI zu erbringen.
Was wir bieten
Als prüfende Stelle übernehmen wir die Nachweisprüfung auf Grundlage eines Branchenspezfischen Sicherheitsstandards (B3S) oder einer eigenen Prüfgrundlage.
Nachweisprüfung nach § 11 Abs. 1e EnWG
Unsere Leistungen im Überblick
Was ist das?
Mit dem IT-Sicherheitsgesetz 2.0 hat der Gesetzgeber Betreibern von Energienetzen und -anlagen neue Pflichten auferlegt. Betreiber von Energienetzen sind verpflichtet Systeme zur Angriffserkennung zu implementieren und am 01.05.2023 einen Nachweis gegenüber dem BSI zu liefern, dass diese Systeme implementiert sind. Wenngleich die Anforderungen etwas kompliziert formuliert sind, wird aus der Gesetzesbegründung zum IT-Sicherheitsgesetz 2.0 klar, dass Energienetzbetreiber UND SOLCHE Betreiber von Energieanlagen, die aufgrund der KRITIS-Verordnung als KRITIS gelten, den Verpflichtungen der Abs. 1d und 1e unterliegen (BT-Drs. 19/26106, Seite 98, Abschnitt „Zu Artikel 3“).
Die Nachweisprüfungen sind nicht Bestandteil der Zertifizierungen nachdem IT-Sicherheitskatalog.
Was wir bieten
Als prüfende Stelle übernehmen wir die Nachweisprüfung auf Grundlage eines der Orientierungshilfe des BSI für Systeme zur Angriffserkennung.
Ablauf der Prüfung
- 1 - Vorprüfung
- 2 - Erstellung des Prüfplans
- 3 - Dokumentenprüfung
- 4 - Vor-Ort-Prüfung und Nachbereitung
- 5 - Erstellung des Prüfberichtes
- 6 - Qualitätssicherung
- 7 - Übergabe der Prüfdokumentation
In einem ersten Schritt bereiten wir die Prüfung vor und prüfen die Eignung des eingereichten Geltungsbereichs. Wir prüfen, ob der Geltungsbereich alle kritischen Dienstleistungen des KRITIS-Betreibers umfasst.
Der Leitende Prüfer erstellt einen Prüfplan und stimmt diesen mit dem Kunden ab. Im Prüfplan werden das Prüfteam, die Prüfobjekte, die Prüfziele sowie die beabsichtigte Prüfmethode im Vorfeld der Prüfung festgelegt. Ebenfalls werden die Rollen im Prüfteam und die benötigten Ansprechpartner beim KRITIS-Betreiber sowie die zeitlichen Abläufe festgeschrieben.
Ausgehend von den übermittelten Dokumenten führt der Leitende Prüfer eine erste Prüfung durch und arbeitet sich in die Dokumentation ein.
In einem Vor-Ort-Termin validiert das Prüfteam die Ergebnisse der Dokumentenprüfung und nimmt Stichproben. In der Regel besteht das Prüfteam aus zwei Personen, es sei denn der Umfang der Prüfung und die Kompetenz des Leitenden Prüfers lassen eine Senkung zu. Das Prüfteam fasst nach der Prüfung die Ergebnisse zusammen. Unter Umständen muss Dokumentation für die Nachweiserbringung nachgeliefert werden.
Im Ergebnis der Prüfung erstellen wir einen Prüfbericht, der den Geltungsbereich der Untersuchung, das Prüfziel, Zeitpunkt, Ort und Dauer der Prüfung, prüfende Stelle und Prüfteam sowie die Prüfergebnisse darstellt. Alle Prüfschritte werden nachvollziehbar und wiederholbar dokumentiert und die Prüfentscheidungen begründet dargelegt. Zudem enthält der Prüfbericht Sicherheitsmängel und -empfehlungen.
Ein weiterer Prüfer, der nicht am Verfahren beteiligt war, prüft die Dokumentation zum Verfahren. Dieser Schritt stellt eine fachliche und dokumentarische Qualitätssicherung dar. Wir stellen somit sicher, dass das vom BSI vorgeschriebene 4-Augen-Prinzip stets gewährleistet ist.
Wir fassen die Dokumentation zur Prüfung zusammen und übergeben im Ergebnis das Nachweisdokument P für KRITIS-Nachweise inklusive der relevanten Anlagen.
Unverbindliches Gespräch vereinbaren
Nehmen Sie unverbindlich Kontakt mit uns auf, um Ihr Zertifizierungsvorhaben zu besprechen.
Kontakt aufnehmen.
Wir freuen uns über Ihre Nachricht.
Kontakt
probatio cert UG (haftungsbeschränkt)
Hauptstraße 3/4
15907 Lübben
post@probatio-cert.de