Paragraph 8a BSIG
Überprüfung der Erfüllung der Anforderungen an ein Informationssicherheitsmanagementsystem gemäß den Anforderungen des Gesetzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) und der Anforderungen der Verordnung zur Bestimmung Kritischer Infrastrukturen nach der BSI-Kritisverordnung (BSI-KritisV) nach § 8a.
Prüfgegenstand ist die Prüfung des ISMS für Anlagen von Betreibern kritischer Infrastrukturen. Die Anlagekategorien werden in den beiden Teilen (Korb 1 und Korb 2) der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz definiert.
Durch die Prüfung muss sichergestellt werden, dass der KRITIS-Betreiber wirksame, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit seiner informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihm betriebenen Kritischen Infrastrukturen maßgeblich sind, getroffen hat. Der Geltungsbereich des ISMS muss vollumfänglich definiert sein und den gesetzlichen Anforderungen, den spezifischen Anforderungen der Anlagen und deren Risiken Rechnung tragen.
Grundlagen sind die Anforderungen gemäß §8a BSIG. Hiernach sind die Betreiber kritischer Infrastrukturen verpflichtet ein ISMS aufzubauen, zu betreiben und deren Wirksamkeit in regelmäßigen Abständen – mindestens alle 2 Jahre – überprüfen zu lassen und auftretende Risiken, Probleme oder Angriffe an das BSI zu melden. Die Rahmenbedingungen zur Prüfung sind in der vom BSI herausgegebenen Orientierungshilfe zu Nachweisen gemäß §8a (3) BSIG zu finden. Hierzu haben die Gesetz- und Regelwerksgeber die nachfolgenden Nachweisverfahren zur Auswahl gestellt
• Prüfung auf Grundlage eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S)
• Prüfung ohne Verwendung eines branchenspezifischen Sicherheitsstandards (B3S)
• Berücksichtigung vorhandener Prüfungen oder anderer Prüfgrundlagen