KRITIS Regelmäßige Tests & Audits

Die §8a-Nachweisprüfung erfolgt in zwei Stufen. In Stufe

1 wird der Prüfungsumfang (Scope) festgelegt, die Dokumentation gesichtet und der Prüfplan erstellt. In Stufe

2 folgen die eigentlichen Prüfhandlungen: Dokumentenprüfung, mündliche Befragung der Verantwortlichen, Inaugenscheinnahme der Systeme und technische Vor-Ort-Prüfung. Am Ende werden die Nachweisdokumente erstellt: BSI-Formblatt P (Prüfnachweis), Formblatt KI (Beschreibung der kritischen Infrastruktur), Prüfbericht und gegebenenfalls eine Mängelliste. Das BSI stellt eine Orientierungshilfe zu den Nachweisen bereit, die den genauen Ablauf beschreibt.

Als Prüfgrundlage dienen entweder branchenspezifische Sicherheitsstandards (B3S), die vom BSI anerkannt wurden, oder anerkannte Standards wie ISO 27001 bzw. IT-Grundschutz. Die Prüfer müssen die zusätzliche Prüfverfahrenskompetenz für §8a BSIG nachweisen. Seit der NIS2-Umsetzung im BSIG gelten ergänzend die zehn Maßnahmenbereiche nach §

30 BSIG als Prüfgegenstand, darunter Risikoanalyse, Vorfallbewältigung, Business Continuity, Lieferkettensicherheit und Kryptographie.

KRITIS-Betreiber müssen alle zwei Jahre gegenüber dem BSI nachweisen, dass ihre IT-Sicherheitsmaßnahmen dem Stand der Technik entsprechen. Die Frist beginnt ab dem Datum der letzten Nachweiseinreichung. Seit der NIS2-Umsetzung

2026 gelten für die Umstellung Übergangsfristen: Betreiber können den nächsten Nachweis noch nach bisherigen BSI-Vorgaben einreichen oder bereits die NIS2-konformen Anforderungen anwenden. Der darauf folgende Nachweis muss dann nach dem aktualisierten Verfahren erfolgen.

Penetrationstests sind ein zentraler Bestandteil der technischen Vor-Ort-Prüfung im §8a-Verfahren. Das BSI empfiehlt jährliche Penetrationstests für KRITIS-Betreiber, auch wenn der formale Nachweis nur alle zwei Jahre fällig ist. Die Tests sollten nach anerkannten Methoden wie OWASP, BSI-Penetrationstest-Leitfaden oder PTES durchgeführt werden und die IT/OT-Segmentierung, Firewall-Konfigurationen, privilegierte Konten und gegebenenfalls physische Zugangssicherung umfassen. Der Pentest-Bericht dient als wichtiger Nachweis bei der §8a-Prüfung.

Mit der Umsetzung der NIS2-Richtlinie in das BSIG gelten erweiterte Anforderungen. KRITIS-Betreiber sind als besonders wichtige Einrichtungen eingestuft und müssen die zehn Maßnahmenbereiche nach §

30 BSIG nachweisen. Neu hinzugekommen sind unter anderem Anforderungen an Lieferkettensicherheit, Kryptographie-Einsatz und Systeme zur Angriffserkennung (SzA). Das Nachweisverfahren wird schrittweise an die NIS2-Vorgaben angepasst, wobei Übergangsfristen gelten.

Nach Abschluss der Prüfung sind folgende Dokumente beim BSI einzureichen: das Nachweisdokument zur Prüfung (Formblatt P), das Nachweisdokument zur kritischen Infrastruktur (Formblatt KI), der Prüfplan, der Prüfbericht mit den Ergebnissen der Dokumentenprüfung und Vor-Ort-Prüfung sowie gegebenenfalls eine Mängelliste mit Fristen zur Behebung. Das BSI stellt die Formblätter und eine Orientierungshilfe (GAiN, RUN) bereit, die den genauen Umfang und die Anforderungen an die Nachweisdokumente festlegen.

ADVISORI begleitet KRITIS-Betreiber durch den gesamten Prüfzyklus: In der Vorbereitungsphase führen wir eine Gap-Analyse durch, um Abweichungen von den BSI-Anforderungen frühzeitig zu identifizieren. Wir unterstützen bei der Erstellung der erforderlichen Dokumentation, führen interne Voraudits durch und bereiten die Verantwortlichen auf die Befragungen vor. Ergänzend bieten wir regelmäßige Penetrationstests und Vulnerability Assessments zwischen den Prüfzyklen an, damit die Sicherheitsmaßnahmen kontinuierlich validiert werden.