In 2020 werden viele KRITIS-Betreiber erneut die Umsetzung angemessener organisatorischer und technischer Maßnahmen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme gemäß § 8a Absatz 3 BSIG nachweisen müssen. Für einige Betreiber erfolgt dieser Nachweis erstmalig.
Aus den Erfahrungen der vergangenen Jahre strebte das BSI bisher einen intensiven Austausch mit den verschiedenen Akteuren des Nachweisprozesses an. Hierbei wurde der Fokus nicht nur auf die beim BSI einzureichenden Nachweisdokumente gelegt, sondern vielmehr auf den gesamten Prozess der Nachweisprüfung – insbesondere mit Blick auf Erfahrungen und Hürden vor, während und nach Prüfungen sowie Audits. So erfolgten kontinuierliche bilaterale Gespräche mit KRITIS-Betreibern; zudem gewann das BSI Eindrücke ausgewählter Betreiber im Sektor Wasser bei Vor-Ort-Prüfungen.
Durch etablierte Gremien im UP KRITIS, u. a. dem Themenarbeitskreis Audits und Standards, aber auch Branchenarbeitskreise, fand ein gegenseitiger Erfahrungsaustauch statt. Im Gespräch mit Prüfern wurde an einem gemeinsamen Verständnis der Umsetzung von § 8a Absatz 1 BSIG und deren Nachweis gearbeitet.
Im KRITIS-Fachbereich des BSI entstand im Laufe des vergangenen Jahres eine Matrixorganisation mit der Aufgabe, die gesammelten Erfahrungswerte und an das BSI herangetragenen Fragen und Anregungen zu sammeln und in den Gesamtprozess der Nachweiserbringung, im Sinne einer kontinuierlichen Verbesserung, zu überführen. Als sichtbares Ergebnis entstanden hieraus zahlreiche Klarstellungen und Hilfestellungen für Betreiber und Prüfer, die teilweise bereits veröffentlicht sind und sich in anderen Teilen noch in Überarbeitung befinden (z. B. hier).
Zudem veröffentlichten die Sektoren Energie und Wasser in den jeweils einschlägigen Fachzeitschriften Erfahrungen und Hinweise für die jeweiligen Sektoren. Hierbei wurden Herausforderungen vor, während und nach der eigentlichen Prüfung betrachtet und Empfehlungen für KRITIS-Betreiber gegeben. Die Ergebnisse und Lessons Learned der Matrixorganisation im KRITIS-Fachbereich verdeutlichten jedoch, wie wichtig und konstruktiv Gespräche sowie direkte Feedbacks zwischen KRITIS-Betreibern und BSI sind.
Für die Branchen der Sektoren Energie und Wasser hat das BSI daher den KRITIS-Monat Juni genutzt, um die KRITIS-Betreiber konstruktiv bei der Nachweiserbringung zu unterstützen. Das BSI
- bietet allen Betreibern individuelle Feedbackgespräche an.
- betrachtet den Gesamtprozess der Nachweiserbringung, was bereits im Vorfeld relevant ist, welche besonderen Anforderungen sich aus § 8a BSIG während einer Prüfung ergeben und Änderungen an zu erstellenden Nachweisdokumenten im Nachgang.
- arbeitet heraus, welche Rückfragen sich im letzten Nachweis ergaben, welche Punkte bereits besonders gut ersichtlich waren.
Das BSI gestaltet gemeinsam mit den Betreibern einen kontinuierlichen und ganzheitlichen Verbesserungsprozess, in dem die beim BSI eingehenden Rückmeldungen thematisch zusammengefasst, analysiert und erläutert werden. Das Ziel dabei ist, die Nachweisqualität zu erhöhen und die gegenseitigen Rückfragen zu reduzieren. KRITIS-Betreiber nehmen das Angebot zum Austausch gerne an.
