0

Prüfverfahrenskompetenz für § 8a BSIG (KRITIS)

KRITIS-Prüfverfahren: Prüfung kritischer Infrastrukturen nach § 8a BSIG

Mit dem IT-Sicherheitsgesetz wurde eine zusätzliche Vorsichtsmaßnahme für kritische Infrastrukturen getroffen: Als Betreiber einer solchen musst du alle zwei Jahre nachweisen, dass du Vorkehrungen getroffen hast, um Störungen in Verfügbarkeit und Informationssicherheit zu vermeiden. Die Prüfung der kritischen Infrastrukturen muss dafür gemäß des KRITIS-Nachweisverfahrens nach §8a (3) BSIG erfolgen. Um diese durchführen zu dürfen, benötigst du die Zertifizierung „Prüfverfahrenskompetenz für § 8a (3) BSIG“.

Für wen ist die KRITIS Schulung geeignet?

Wenn du als Prüfer, interner Revisor, Auditor oder Wirtschaftsprüfer mit IT-Erfahrung kritische Infrastrukturen prüfen möchtest, ist diese Schulung das Richtige für dich. Auch als Mitarbeiter eines Betreibers für kritische Infrastrukturen, oder eines Unternehmens, das an dessen Sicherheits-Prüfung beteiligt ist, ist diese Fortbildung für dich geeignet.

Welchen Nutzen ziehe ich aus dieser Schulung?

Nach dieser Schulung kennst du den Paragraphen § 8a BSIG und weißt, wie du die Sicherheit kritischer Infrastrukturen entsprechend nachweisen kannst. Nach Bestehen der Zertifizierungsprüfung bist du zudem offiziell befugt dazu, die Audits durchzuführen, die alle zwei Jahre fällig sind.


Profitiere von unserem 10% Angebot!

KRITIS – Prüfverfahrenskompetenz für § 8a BSIG

In dieser zweitägigen Schulung bereiten wir dich auf die Prüfung kritischer Infrastrukturen im Rahmen der Umsetzung des § 8a (3) des BSI-Gesetzes vor. Nach Bestehen der Zertifizierungsprüfung am Ende der Schulung bist du als Auditor zur Durchführung von Prüfungen entsprechend dieses Gesetzes befugt. Wir vermitteln dir einen Überblick über KRITIS und zeigen dir, wie du Prüfungen nach § 8a BSIG effizient vorbereitest und wie du diese konkret durchführst.

  • Zertifikat "Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG"
  • Intensive Prüfungsvorbereitung
  • Schulungspaket mit Unterlagen
  • Verpflegung während des Trainings
  • ÖPNV-Tickets für München
ab € 1.590,- zzgl. Mwst.
Zertifizierungsprüfung (optional)
€ 250,- zzgl. Mwst.
  1. Termine
  2. Inhalte
  3. Zertifizierung
  4. Voraussetzungen
  5. Flyer
Filter:
Termin Termingarantie Ort Preis* Prüfung**
Mo 10.10. bis
Di 11.10.2022
Online Live !
1.590,- 250,-
Mo 12.12. bis
Di 13.12.2022
München !
1.690,- 250,-
Mi 15.02. bis
Do 16.02.2023
Online Live !
1.590,- 250,-
Do 13.04. bis
Fr 14.04.2023
München !
1.690,- 250,-
Di 13.06. bis
Mi 14.06.2023
Online Live !
1.590,- 250,-
Mi 09.08. bis
Do 10.08.2023
München !
1.690,- 250,-
Do 12.10. bis
Fr 13.10.2023
Online Live !
1.590,- 250,-
Do 14.12. bis
Fr 15.12.2023
München !
1.690,- 250,-
Es wurden keine Termine gefunden.
Mehr Termine
*Nettopreise **optional

Agenda

Tag 1: 09:00 – ca. 16:00 Uhr

Tag 2: 09:00 – ca. 16:00 Uhr

Die Schulung ist in fünf Module gegliedert:

  1. Vorstellung des BSI
  2. Kritische Infrastrukturen und das IT-Sicherheitsgesetz (IT-SiG)
  3. Die BSI-Kritisverordnung (BSI-KritisV) und der Geltungsbereich
  4. Die Prüfgrundlage
  5. Nachweise gemäß § 8a (3) BSIG
  6. Abschlussprüfung und Prüfungsfragen

Wie erhalte ich meine Zertifizierung für KRITIS-Prüfverfahrenskompetenz?

Es handelt sich bei dieser Zertifizierung um eine Online-Prüfung. Du entscheidest, wann und wo du die Prüfung ablegst. Die Prüfungsabnahme und Zertifizierung erfolgt durch die AuraSec GmbH. Die AuraSec GmbH ist akkreditierter Schulungsanbieter des BSI für die „Zusätzliche Prüfverfahrenskompetenz nach § 8a (3) BSIG“.

Der Prüfungsanbieter schickt dir eine E-Mail mit allen Informationen zu. Du benötigst nur eine Webcam (Laptop-Kamera), um die Prüfung abzulegen. Das Zertifikat ist 2 Jahre gültig.

Welches Format hat die Zertifizierungsprüfung?

  • Dauer: 60 Minuten
  • Multiple-Choice-Prüfung
  • Sprache: Deutsch

Es gibt keine Teilnahmevoraussetzungen für diese Schulung. Wir empfehlen sie Auditoren mit Erfahrung im Bereich Informationssicherheit, Verantwortlichen für Informationssicherheit bei KRITIS-Betreibern und deren Dienstleistern.

Schulungs-Flyer zum Download

mITSM - KRITIS Prüfverfahrenskompetenz - Schulung & Zertifizierung

Warum KRITIS-Prüfungskompetenz mit mITSM?

Als langjährige Experten im Bereich Schulung für IT-Sicherheit, haben wir unser Portfolio um das KRITIS-Nachweisverfahren ergänzt. Gemeinsam mit unserem Partner der AuraSec GmbH sind wir vom BSI anerkannt und autorisiert, dich in KRITIS-Prüfverfahren „Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“ zu schulen. Damit geben wir Sicherheitsverantwortlichen kritischer Infrastrukturen das praktische Werkzeug an die Hand, ihre Systeme zu prüfen und deren Sicherheit dem Standard entsprechend nachzuweisen.

?

FAQ - Fragen und Antworten zur KRITIS Prüfungskompetenz

  • Was ist das BSI?

    Das BSI ist das Bundesamt für Sicherheit in der Informationstechnik. Es handelt sich um eine Bundesbehörde, die zum Bundesministerium des Innern, für Bau und Heimat gehört. Es handelt sich um die Behörde, die für Fragen der IT-Sicherheit zuständig ist. Das BSI ist Urheber des IT-Sicherheitsgesetzes, das unter anderem strengere Regelungen für kritische Infrastrukturen beschlossen hat. So reagiert das BSI auf die steigenden Bedrohungen im Bereich Cyberkriminalität.

  • Wer muss einen Nachweis nach § 8a (3) BSIG erbringen?

    Der Nachweis muss von allen Betreibern von deutschen kritischen Infrastrukturen erbracht werden. Als kritische Infrastrukturen gelten Anlagen und Systeme, die zur Aufrechterhaltung essentieller gesellschaftlicher Funktionen notwendig sind. Vor allem im Bereich Gesundheit und Sicherheit angesiedelt, sind kritische Infrastrukturen notwendig, um die Wirtschaft und das soziale Wohlergehen des Staates aufrechtzuerhalten. Als Beispiel können Kraftwerke und Unternehmen, die maßgeblich an der Wasser- und Lebensmittelversorgung beteiligt sind, genannt werden.

  • Welche Sektoren fallen unter kritische Infrastrukturen?

    Es gibt 10 Sektoren, die als KRITS gelten:

    1. Energiesektor (Strom, Gas, Treibstoff, etc.)
    2. Gesundheitssektor (Krankenhäuser, Kliniken, Labore, Rettungsdienst, etc.)
    3. Telekommunikations- und Informationssektor (Netzbetrieb, etc.)
    4. Transport und Verkehr (Nahverkehr, Luftfahrt, etc.)
    5. Mediensektor (Nachrichtendienste, etc.)
    6. Wasserversorgung
    7. Finanz- und Wirtschaftssektor (Banken, Geldautomaten, etc.)
    8. Lebensmittelversorgung und Hygiene (Lieferketten, Einzelhandel, etc.)
    9. Staat und Verwaltung (Polizei, Justiz, Gesetzgebung, etc.)
  • Wann muss ein Nachweis nach § 8a (3) BSIG erbracht werden?

    Dem Paragraph § 8a Abs. 3 des BSI-Gesetzes zufolge, muss alle zwei Jahre ein Nachweis erbracht werden. Der erste Nachweis musste bis spätestens 2019 erfolgt sein. Wann der nächste Nachweis fällig ist, teilt das BSI in der Regel mit der jeweiligen Prüfung der Nachweisdokumente mit. Den nächsten Prüfungstermin findest du also in deinen Unterlagen.

  • Was muss ich als KRITIS-Betreiber nun tun?

    Alle KRITIS-Betreiber sind verpflichtet innerhalb von 2 Jahren nach Inkrafttreten des IT-Sicherheitsgesetzes „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen“. Damit soll sichergestellt werden, dass die Funktionsfähigkeit der kritischen Infrastrukturen zu jeder Zeit aufrechterhalten werden kann. „Angemessen“ heißt dabei, dass der Aufwand, den die Implementierung bedeutet in Verhältnis zu einem möglichen Schaden durch den Ausfall stehen muss.

    Nachdem die Maßnahmen umgesetzt und die Anforderungen nach §8a BSIG erfüllt sind, muss der KRITIS-Betreiber dies alle 2 Jahre durch ein Sicherheitsaudit nachweisen.

    Weitere Infos findest du hier.

  • Was ist der branchenspezifische Sicherheitsstandrad B3S?

    KRITIS-Betreiber oder Branchenverbände können einen B3S (Branchenspezifischen Sicherheitsstandard) vorschlagen und diesen beim Bundesamt zur Prüfung einreichen. Das Bundesamt prüft, ob der B3S die Anforderungen des §8a BSIG auf geeignete Art umsetzt. Gegebenenfalls kann der B3S dann als Prüfungsgrundlage für die kritischen Infrastrukturen dieser Branche dienen. Wenn es für eine Branche keinen B3S gibt, kann auch die ISO 27001 als Prüfungsgrundlage herangezogen werden.

  • Wie verläuft ein Audit nach §8a BSIG?

    Das qualifizierte Audit-Team nutzt die abgestimmte Prüfungsgrundlage (B3S oder ISO 27001). Es wird zunächst der Geltungsbereich festgestellt, also welche Maßnahmen geeignet, erforderlich, wirksam und angemessen sind. Es wird geprüft, ob Schutzbedarf strukturiert festgestellt und Maßnahmen strukturiert abgeleitet wurden. Schließlich wird auditiert, ob die notwendigen Anforderungen vollständig umgesetzt wurden und ob die Funktionsfähigkeit der kritischen Infrastruktur dadurch gewährleistet bleibt.

  • Welche Inhalte werden beim KRITIS-Prüfverfahren (Nachweisverfahren) geprüft?

    Der Orientierungshilfe zu Nachweisen gemäß § 8a (2) BSIG zufolge, darf der Betreiber einer kritischen Infrastruktur die Prüfgrundlage in Abstimmung mit der prüfenden Stelle selbst wählen:

    • Prüfung auf Basis eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S): z.B. B3S medizinische Versorgung der Deutschen Krankenhausgesellschaft (DKG) in der Version 1.1. vom 23.10.2019
    • Prüfung auf Basis der Themenblöcke/Anforderungen gemäß Kap. 4.4 und 5.3 der Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG vom 01.12.2017
    • Prüfung auf Basis vorhandener Prüfungen oder anderer Prüfgrundlagen:
        • z.B. Auditberichte zu ISO/IEC 27001 oder IT-Grundschutz-Audits durch eine unabhängige Prüfstelle, Berichte zu IT-Prüfungen durch Wirtschaftsprüfungsgesellschaften oder die interne Revision
        • Prüfung auf Basis anerkannter Standards und Regelwerken zum Management der Informationssicherheit, wie z.B. ISO/IEC 27000 Normenreihe und/oder IT-Grundschutzkompendium
  • Wer darf KRITIS-Betreiber auditieren?

    Ein Sicherheits-Audit bei KRITIS-Unternehmen darf von akkreditierten Zertifizierungsstellen der DAkkS durchgeführt werden. Auch dürfen anerkannte Prüfstellen des BSI sowie zertifizierte IT-Sicherheitsdienstleister kritische Infrastrukturen auditieren. Im Ausnahmefall kann auch ein individueller Nachweis erbracht werden, dass eine Stelle über die notwendige Prüfungskompetenz und -eignung verfügt. Alle Prüfer müssen nachweisen, dass sie über die „Spezielle Prüfkompetenz nach §8a BSIG“, sowie Branchenkompetenz verfügen. Ersteres wird durch die Zertifizierung belegt, die du nach erfolgreicher Prüfung von der ICO erhältst. Branchenkompetenz wird durch eine Bescheinigung des z.B. Arbeitgebers (Übersicht über Berufserfahrung & Tätigkeiten) belegt. Die Branchenkompetenz gilt dann als vorhanden, wenn eine Person mind. 3 Jahre in den vergangenen 5 Jahren in der Branche tätig war.

  • Was ist wenn ich schon ein ISMS nach ISO 27001 habe?

    Wenn du schon ISMS nach ISO 27001 hast, bist du sicher nicht mehr weit weg davon auch §8a BSIG zu erfüllen. Eine Prüfung muss trotzdem stattfinden, denn es gilt ein paar Besonderheiten zu berücksichtigen: Der §8a enthält ein paar Sonderregelungen bzgl. des Risikomanagements und es muss u.U. auf branchenspezifische Anforderungen und besondere Bedrohungslagen eingegangen werden. Wer sein Informationssicherheitsmanagementsystem allerdings gemäß der Norm aufgesetzt hat, kann die neuen KRITIS-Anforderungen durch §8a BSIG in der Regel leicht implementieren.

    Kennst du die Norm ISO/IEC 27001 noch nicht? Auch hier bieten wir die passende Ausbildung an: ISO 27001 Schulung

  • Wie teuer wird das IT-Sicherheitsgesetz für KRITIS-Betreiber?

    Wie hoch die Kosten sind, die mit der Umsetzung des IT-Sicherheitsgesetzes verbunden sind, hängt davon ab, wie viel die KRITIS-Betreiber bereits in ihre IT-Sicherheit investiert haben. Nachdem das IT-Sicherheitsgesetz vorschreibt, dass schwere IT-Sicherheitsvorfälle meldepflichtig sind, rechnet der Branchenverband Bitkom mit 1,1 Mrd. € Kosten pro Jahr für die deutsche Wirtschaft.

    Bei Nicht-Erfüllung der Anforderungen drohen Bußgelder von bis zu 100.000€.

  • Welche Veränderungen gibt es für IT-Leiter durch das IT-Sicherheitsgesetz?

    Zur Umsetzung des IT-Sicherheitsgesetzes müssen IT-Verantwortliche nun in IT-Sicherheit investieren. Die konkreten Vorschriften lassen kaum mehr Spielraum, Geschäftsführer sind nun im Schadensfall leichter haftbar zu machen. Das Positive ist: Die KRITIS-Bertreiber haben nun die Pflicht schwere Störfälle an das BSI zu melden und das BSI muss diese Störfälle den jeweiligen Wettbewerbern mitteilen. Bei Cyberangriffen, die sich gegen eine bestimmte Branche richten, werden IT-Leiter frühzeitig gewarnt.

  • Wie sieht ein KRITIS-Audit konkret aus?

    Zunächst wird der Status-Quo der IT-Infrastruktur bewertet und der Geltungsbereich des KRITIS-Audits bestimmt. Es kann nämlich sein, dass es Unternehmensteile gibt, die nicht Teil der kritischen Infrastruktur sind, bzw. nur am Rande zu ihr beitragen. Diese könnten dann ggf. beim Audit außen vor gelassen werden. Als dritter vorbereitender Schritt folgt dann die Bestimmung der Prüfgrundlage. Gibt es einen B3S?

    Schließlich werden im Audit nach Schwachstellen in der IT-Sicherheit gesucht. Die gefundenen Schwachstellen werden schließlich priorisiert und ein Maßnahmenkatalog erstellt. Dieser Maßnahmenkatalog muss dann bis zum folgenden Audit umgesetzt werden.

  • Wo finde ich mehr Informationen zu Nachweisen gemäß § 8a Absatz 3 BSIG?
+49 89 - 44 44 31 88 0
Jobs
Komm in unser Team!

Stellen für Trainer & Produktmanager

Schließen