KRITIS-Betreiber stehen vor besonderen Herausforderungen, wenn es um die Einhaltung von Sicherheitsstandards geht. Die BSI-Kritisverordnung legt klare Anforderungen fest, die regelmäßige Überprüfungen durch qualifizierte Auditoren erfordern. Doch wie oft müssen diese Audits eigentlich durchgeführt werden?
Die Häufigkeit von KRITIS-Audits ist nicht nur eine rechtliche Verpflichtung, sondern auch ein wichtiger Baustein für die Aufrechterhaltung der Betriebssicherheit kritischer Infrastrukturen. In diesem Artikel klären wir alle wichtigen Fragen rund um die Audit-Zyklen und deren Bedeutung für KRITIS-Betreiber.
Was sind KRITIS-Audits und warum sind sie verpflichtend?
KRITIS-Audits sind verpflichtende Sicherheitsüberprüfungen für Betreiber kritischer Infrastrukturen, die gemäß BSI-Kritisverordnung alle zwei Jahre durchgeführt werden müssen. Diese Audits bewerten die Umsetzung angemessener organisatorischer und technischer Vorkehrungen zum Schutz vor Cyberbedrohungen.
Die Verpflichtung ergibt sich aus dem IT-Sicherheitsgesetz und der darauf basierenden BSI-Kritisverordnung. Betreiber kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr müssen nachweisen, dass sie angemessene Sicherheitsmaßnahmen implementiert haben.
Das Ziel dieser Audits liegt darin, die Funktionsfähigkeit und Sicherheit systemrelevanter Dienstleistungen zu gewährleisten. Da ein Ausfall kritischer Infrastrukturen erhebliche Auswirkungen auf die Gesellschaft haben kann, schreibt der Gesetzgeber diese regelmäßigen Überprüfungen vor.
Wie oft müssen KRITIS-Betreiber Sicherheitsaudits durchführen?
KRITIS-Betreiber müssen alle zwei Jahre ein Sicherheitsaudit durchführen lassen. Diese Frist beginnt mit der erstmaligen Meldung als KRITIS-Betreiber beim BSI und wiederholt sich dann kontinuierlich im Zwei-Jahres-Rhythmus.
Die Zwei-Jahres-Frist ist in § 8a Absatz 3 BSIG festgelegt und gilt für alle KRITIS-Betreiber unabhängig von ihrer Größe oder dem spezifischen Sektor. Wichtig ist dabei, dass das Audit rechtzeitig vor Ablauf der Frist abgeschlossen sein muss – nicht nur begonnen werden darf.
Zusätzlich zu den regulären Zwei-Jahres-Audits können auch außerordentliche Audits erforderlich werden. Dies kann beispielsweise nach größeren Sicherheitsvorfällen, wesentlichen Änderungen der IT-Infrastruktur oder auf Anordnung des BSI geschehen. In solchen Fällen müssen Betreiber zeitnah reagieren und das geforderte Audit durchführen lassen.
Welche Arten von KRITIS-Audits gibt es?
Es gibt drei Hauptarten von KRITIS-Audits: Grundschutz-Audits nach BSI-Standard 200-2, ISIS12-Audits und branchenspezifische Audits nach anerkannten Standards. Die Wahl des Audit-Typs hängt von der Größe des Unternehmens und den spezifischen Anforderungen des jeweiligen KRITIS-Sektors ab.
Grundschutz-Audits basieren auf dem IT-Grundschutz-Kompendium des BSI und eignen sich besonders für größere Organisationen mit komplexen IT-Landschaften. Diese Audits prüfen systematisch alle relevanten Sicherheitsaspekte anhand der BSI-Standards und bieten eine umfassende Bewertung der Informationssicherheit.
ISIS12-Audits richten sich primär an kleine und mittlere Unternehmen und bieten einen vereinfachten, aber dennoch wirksamen Ansatz zur Überprüfung der Informationssicherheit. Der ISIS12-Standard wurde speziell für KMU entwickelt und berücksichtigt deren begrenzte Ressourcen.
Branchenspezifische Audits orientieren sich an sektorspezifischen Standards wie beispielsweise dem B3S-Standard für den Finanzsektor oder speziellen Normen für Energieversorger. Diese Standards berücksichtigen die besonderen Anforderungen und Risiken der jeweiligen Branche.
Wer darf KRITIS-Audits durchführen und welche Qualifikationen sind erforderlich?
KRITIS-Audits dürfen nur von qualifizierten und unabhängigen Auditoren durchgeführt werden, die über eine entsprechende Zertifizierung als ISO 27001 Lead Auditor oder vergleichbare Qualifikationen verfügen. Zusätzlich müssen sie nachweisbare Erfahrung in der Auditierung kritischer Infrastrukturen besitzen.
Die Auditoren müssen verschiedene Voraussetzungen erfüllen: Sie benötigen eine fundierte Ausbildung im Bereich Informationssicherheit, mehrjährige praktische Erfahrung und regelmäßige Weiterbildungen. Darüber hinaus ist eine Zertifizierung als Lead Auditor für Informationssicherheitsmanagementsysteme nach ISO 27001 oder eine gleichwertige Qualifikation erforderlich.
Besonders wichtig ist die Unabhängigkeit des Auditors. Er darf in den letzten zwei Jahren vor dem Audit keine Beratungsleistungen für den zu auditierenden KRITIS-Betreiber erbracht haben. Diese Regelung soll Interessenkonflikte vermeiden und die Objektivität des Audits sicherstellen.
Viele KRITIS-Betreiber beauftragen spezialisierte Beratungsunternehmen oder Zertifizierungsstellen, die über entsprechend qualifizierte Auditoren verfügen. Dabei sollten Betreiber auf die Erfahrung des Auditors in ihrem spezifischen Sektor achten, da jeder KRITIS-Bereich eigene Besonderheiten aufweist.
Was passiert, wenn KRITIS-Audit-Fristen nicht eingehalten werden?
Bei Nichteinhaltung der KRITIS-Audit-Fristen drohen Bußgelder von bis zu 100.000 Euro sowie weitere rechtliche Konsequenzen durch das BSI. Zusätzlich können Betreiber ihre Zulassung verlieren oder müssen mit verschärften Überwachungsmaßnahmen rechnen.
Das BSI überwacht die Einhaltung der Audit-Pflichten aktiv und kann bei Verstößen verschiedene Maßnahmen ergreifen. Neben Bußgeldern können auch Anordnungen zur sofortigen Durchführung des Audits oder zur Implementierung zusätzlicher Sicherheitsmaßnahmen verhängt werden.
In schwerwiegenden Fällen kann das BSI sogar den Betrieb kritischer Anlagen untersagen, bis die erforderlichen Nachweise erbracht wurden. Dies kann für KRITIS-Betreiber existenzbedrohende Folgen haben und sollte unbedingt vermieden werden.
Darüber hinaus können verspätete oder fehlende Audits auch versicherungsrechtliche Konsequenzen haben. Viele Cyberversicherungen setzen die Einhaltung gesetzlicher Compliance-Anforderungen voraus, sodass bei Verstößen der Versicherungsschutz gefährdet sein kann.
Wie CCVOSSEL bei KRITIS-Audits unterstützt
Wir bei CCVOSSEL begleiten KRITIS-Betreiber umfassend bei der Erfüllung ihrer Audit-Pflichten. Mit unserer langjährigen Erfahrung in kritischen Infrastrukturen und als zertifizierte Experten bieten wir:
- Durchführung von KRITIS-Audits durch qualifizierte Lead Auditoren
- Vorbereitung auf Audits durch Gap-Analysen und Schwachstellen-Assessments
- Entwicklung maßgeschneiderter Sicherheitskonzepte und TOMs
- Kontinuierliche Betreuung zur Aufrechterhaltung der Compliance
- 24/7 Security Monitoring für lückenlose Überwachung
Als Mitautoren der TeleTrusT-Arbeitsgruppe „Stand der Technik“ gestalten wir aktiv die Branchenstandards mit und bringen diese Expertise direkt in unsere Beratung ein. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch zu Ihren KRITIS-Anforderungen.