0

Prüfverfahrenskompetenz für § 8a BSIG (KRITIS)

KRITIS-Prüfverfahren: Prüfung kritischer Infrastrukturen nach § 8a BSIG

Mit dem IT-Sicherheitsgesetz wurde eine zusätzliche Vorsichtsmaßnahme für kritische Infrastrukturen getroffen: Als Betreiber einer solchen musst du alle zwei Jahre nachweisen, dass du Vorkehrungen getroffen hast, um Störungen in Verfügbarkeit und Informationssicherheit zu vermeiden. Die Prüfung der kritischen Infrastrukturen muss dafür gemäß des KRITIS-Nachweisverfahrens nach §8a (3) BSIG erfolgen. Um diese durchführen zu dürfen, benötigst du die Zertifizierung „Prüfverfahrenskompetenz für § 8a (3) BSIG“.

Für wen ist die KRITIS Schulung geeignet?

Wenn du als Prüfer, interner Revisor, Auditor oder Wirtschaftsprüfer mit IT-Erfahrung kritische Infrastrukturen prüfen möchtest, ist diese Schulung das Richtige für dich. Auch als Mitarbeiter eines Betreibers für kritische Infrastrukturen, oder eines Unternehmens, das an dessen Sicherheits-Prüfung beteiligt ist, ist diese Fortbildung für dich geeignet.

Welchen Nutzen ziehe ich aus dieser Schulung?

Nach dieser Schulung kennst du den Paragraphen § 8a BSIG und weißt, wie du die Sicherheit kritischer Infrastrukturen entsprechend nachweisen kannst. Nach Bestehen der Zertifizierungsprüfung bist du zudem offiziell befugt dazu, die Audits durchzuführen, die alle zwei Jahre fällig sind.


Profitiere von unserem 10% Angebot!

KRITIS – Prüfverfahrenskompetenz für § 8a BSIG

In dieser zweitägigen Schulung bereiten wir dich auf die Prüfung kritischer Infrastrukturen im Rahmen der Umsetzung des § 8a (3) des BSI-Gesetzes vor. Nach Bestehen der Zertifizierungsprüfung am Ende der Schulung bist du als Auditor zur Durchführung von Prüfungen entsprechend dieses Gesetzes befugt. Wir vermitteln dir einen Überblick über KRITIS und zeigen dir, wie du Prüfungen nach § 8a BSIG effizient vorbereitest und wie du diese konkret durchführst.

  • Zertifikat "Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG"
  • Intensive Prüfungsvorbereitung
  • Schulungspaket mit Unterlagen
  • Verpflegung während des Trainings
  • ÖPNV-Tickets für München
ab € 1.590,- zzgl. Mwst.
Zertifizierungsprüfung (optional) €250,- zzgl. Mwst.
  1. Termine
  2. Inhalte
  3. Zertifizierung
  4. Voraussetzungen
  5. Inhouse
  6. Flyer
Termin Termingarantie Ort Preis* Prüfung*
Mo 15.07. bis
Di 16.07.2024
Termingarantie Termingarantie Infos
Online ! Online Zoom Session mit Live Trainer
1.590,- 250,-**
Mo 23.09. bis
Di 24.09.2024
Online ! Online Zoom Session mit Live Trainer
1.590,- 250,-**
Mo 14.10. bis
Di 15.10.2024
Online ! Online Zoom Session mit Live Trainer
1.590,- 250,-**
Mo 11.11. bis
Di 12.11.2024
Online ! Online Zoom Session mit Live Trainer
1.590,- 250,-**
Mo 17.02. bis
Di 18.02.2025
Online ! Online Zoom Session mit Live Trainer
1.590,- 250,-**
Mo 14.04. bis
Di 15.04.2025
München ! München mITSM Schulungszentrum im NEWTON Ridlerstraße 57 80339 München
1.690,- 250,-**
Mo 16.06. bis
Di 17.06.2025
Online ! Online Zoom Session mit Live Trainer
1.590,- 250,-**
Mo 18.08. bis
Di 19.08.2025
München ! München mITSM Schulungszentrum im NEWTON Ridlerstraße 57 80339 München
1.690,- 250,-**
*Nettopreise **optional

KRITIS – Prüfverfahrenskompetenz für § 8a BSIG

Inhalt der Schulung

Unsere Schulung vermittelt das Wissen und die Fähigkeiten, um als Prüfer in der KRITIS (Kritische Infrastrukturen) tätig zu sein. Der Inhalt der Schulung umfasst unter anderem:

  • Überblick über das KRITIS-Gesetz und die damit verbundenen Anforderungen
  • Grundlagen der Risikoanalyse und des Risikomanagements
  • Methoden zur Identifizierung kritischer Infrastrukturen
  • Kenntnisse über die verschiedenen KRITIS-Sektoren und deren spezifische Anforderungen
  • Prüfung von KRITIS-Unternehmen und deren Sicherheitsmaßnahmen
  • Verfahren zur Feststellung von Mängeln und Schwachstellen
  • Dokumentation von Prüfergebnissen und Berichterstattung an die zuständigen Stellen

Die Schulung umfasst auch praktische Übungen, um das erworbene Wissen anzuwenden und die Fähigkeiten zu verbessern.

Zielgruppe

Die Zielgruppe dieser Schulung sind Personen, die für die Umsetzung und Einhaltung der Vorschriften des IT-Sicherheitsgesetzes (BSIG) verantwortlich sind, insbesondere in den Kritischen Infrastrukturen (KRITIS) Deutschlands. Dazu gehören:

  • IT-Sicherheitsbeauftragte in KRITIS-Unternehmen
  • Mitarbeiter von KRITIS-Unternehmen, die für die IT-Sicherheit zuständig sind
  • IT-Sicherheitsauditoren, die Audits gemäß § 8a BSIG durchführen möchten
  • Externe Auditoren, die in KRITIS-Unternehmen tätig sind
  • Berater und Dienstleister, die KRITIS-Unternehmen bei der Umsetzung der Anforderungen des BSIG unterstützen möchten

Nutzen der Schulung

  • Verständnis für die Anforderungen des § 8a BSIG an KRITIS-Unternehmen
  • Kenntnisse der Vorgehensweise bei einer Prüfung nach § 8a BSIG
  • Kompetenz zur Durchführung von Prüfungen bei KRITIS-Unternehmen
  • Fähigkeit zur Erstellung von Prüfberichten und Empfehlungen für KRITIS-Unternehmen
  • Erhöhung der Qualifikation und der Berufschancen im Bereich der IT-Sicherheit und der KRITIS-Prüfung

Agenda

Tag 1: 09:00 – ca. 16:00 Uhr

Tag 2: 09:00 – ca. 16:00 Uhr

Kernpunkte der Schulung

Die Schulung ist in fünf Module gegliedert:

  • Vorstellung des BSI
    • Aufgaben und Ziele des BSI
    • Struktur und Organisation des BSI
    • Wahrnehmung der Aufgaben im Bereich KRITIS
  • Kritische Infrastrukturen und das IT-Sicherheitsgesetz (IT-SiG)
    • Begriffserklärungen: Kritische Infrastrukturen, Betreiber, etc.
    • Anforderungen an KRITIS-Betreiber laut IT-SiG
    • Bedeutung der KRITIS-Sektoren
  • Die BSI-Kritisverordnung (BSI-KritisV) und der Geltungsbereich
    • Inhalte der BSI-KritisV
    • Kriterien für die Bestimmung kritischer Infrastrukturen
    • Auswirkungen der BSI-KritisV auf Betreiber kritischer Infrastrukturen
  • Die Prüfgrundlage
    • Zielsetzung der Prüfungen
    • Prüfkataloge und Prüffragen
    • Vorgehensweise bei der Prüfung
  • Nachweise gemäß § 8a (3) BSIG
    • Anforderungen an den Nachweis der IT-Sicherheit
    • Vorgaben zum Bericht über die Prüfung nach § 8a BSIG
    • Prüfungshandlungen und Prüfungsergebnisse
  • Abschlussprüfung und Prüfungsfragen
    • Ablauf und Bestandteile der Abschlussprüfung
    • Beispielfragen zur Abschlussprüfung
    • Bewertung der Prüfungsleistungen

Wie erhalte ich meine Zertifizierung?

Unsere Zertifizierungsstelle für diese Personenzertifizierung ist die ICO – International Certification Organization. Es handelt sich bei der Zertifizierung um eine Online-Prüfung. Du kannst Ort und Zeit frei wählen.

Details zur Online-Prüfung der ICO:

Nachdem wir dich zur Online-Prüfung angemeldet haben, erhältst du von der ICO eine E-Mail mit allen wichtigen Informationen (i.d.R. am ersten Schulungstag). Bitte lies diese aufmerksam durch. In der E-Mail befindet sich ein Link, der dich zu deinem ICO-Kundenkonto führt. Dort sind dann automatisch deine bestellten Prüfungen hinterlegt. Für jede deiner Prüfungen gibt es einen Link zu einer Musterprüfung. So kannst du dich mit dem System vertraut machen. Diese Links sind ab dem Geltungstag für 365 Tage gültig und aufrufbar. Die Prüfung kann in diesem Zeitraum zu jeder beliebigen Tages- und Nachtzeit abgelegt werden. Das ICO-Prüfungssystem SOE überwacht dabei die Prüfung. Falls du die Prüfung nicht auf Anhieb bestehen solltest, darfst du die Prüfung für den halben Preis wiederholen. Für weitere Infos folge bitte diesem Link zu den FAQs zu den Online Prüfungen der ICO und scrolle nach unten.

Welches Format hat die Zertifizierungsprüfung?

  • Online Multiple-Choice-Prüfung
  • Sprache: Deutsch
  • Dauer: 45 Minuten
  • Anzahl der Fragen: 30
    • Es gibt je zwei oder drei Antwortmöglichkeiten.
    • Eine, zwei oder alle drei Antwortmöglichkeiten können richtig sein.
    • Richtig beantwortet ist eine Frage, wenn alle der richtigen und keine der falschen Antwortmöglichkeiten angekreuzt sind.
  • Zum Bestehen müssen mindestens 60 Prozent der Fragen korrekt beantwortet werden.

Hier geht es zur Step-by-Step-Anleitung

Step-by-Step Anleitung ICO Online Prüfung

Es gibt keine Teilnahmevoraussetzungen für diese Schulung. Wir empfehlen sie Auditoren mit Erfahrung im Bereich Informationssicherheit, Verantwortlichen für Informationssicherheit bei KRITIS-Betreibern und deren Dienstleistern.

Gerne kommen wir mit unserer KRITIS Schulung auch in dein Unternehmen. Stelle einfach eine unverbindliche Anfrage über unser Inhouse-Formular.

Inhouse-Schulung auch als Online Live Training

Ganz gleich wo deine Mitarbeiter sich befinden, ob am Arbeitsplatz oder im Homeoffice, sie können von dort aus online an einer vollwertigen Firmen-Inhouse-Schulung teilnehmen. Unsere erfahrenen Trainer präsentieren dabei denselben Stoff wie bei einer Präsenz-Schulung und stehen währenddessen auch für die Fragen der Teilnehmer zur Verfügung. Nebenbei sparst du dir die Reisekosten für den Trainer.

Wir gehen auf deine Wünsche ein

Hast du besondere Interessen? Willst du bei einer Firmenschulung gezielt Schwerpunkte setzen? Wir richten uns gerne nach deinen individuellen Anforderungen.

Experten aus der Praxis

Alle unsere Trainer sind zertifizierte Experten auf ihren Gebieten und darüber hinaus als Berater vor Ort bei unseren Kunden im Einsatz. Dadurch kennen sie ihre Lehrinhalte aus der Praxis und können diese verständlich weitergeben. Für uns genauso wichtig wie die Fachkompetenz ist dabei die inspirierende Vermittlung des Wissens.

Inhouse-Streifenkarte

Alternativ zu den Inhouse-Schulungen hast du die Möglichkeit, deine Mitarbeiter mit eine Streifenkarte in unsere öffentlichen Schulungen zu schicken. Eine Streifenkarte gilt für den Seminarbesuch von bis zu 10 Teilnehmern, wodurch du einen deutlichen Preisvorteil gegenüber Einzelbuchungen der Mitarbeiter erhältst. Mehr Infos dazu findest du hier: Inhouse-Streifenkarte

Schulungs-Flyer zum Download

mITSM - KRITIS Prüfverfahrenskompetenz - Schulung & Zertifizierung

Warum KRITIS-Prüfungskompetenz mit mITSM?

Als langjährige Experten im Bereich Schulung für IT-Sicherheit, haben wir unser Portfolio um das KRITIS-Nachweisverfahren ergänzt. Damit geben wir Sicherheitsverantwortlichen kritischer Infrastrukturen das praktische Werkzeug an die Hand, ihre Systeme zu prüfen und deren Sicherheit dem Standard entsprechend nachzuweisen.

?

FAQ - Fragen und Antworten zur KRITIS Prüfungskompetenz

  • Was ist das BSI?

    Das BSI ist das Bundesamt für Sicherheit in der Informationstechnik. Es handelt sich um eine Bundesbehörde, die zum Bundesministerium des Innern, für Bau und Heimat gehört. Es handelt sich um die Behörde, die für Fragen der IT-Sicherheit zuständig ist. Das BSI ist Urheber des IT-Sicherheitsgesetzes, das unter anderem strengere Regelungen für kritische Infrastrukturen beschlossen hat. So reagiert das BSI auf die steigenden Bedrohungen im Bereich Cyberkriminalität.

  • Wer muss einen Nachweis nach § 8a (3) BSIG erbringen?

    Der Nachweis muss von allen Betreibern von deutschen kritischen Infrastrukturen erbracht werden. Als kritische Infrastrukturen gelten Anlagen und Systeme, die zur Aufrechterhaltung essentieller gesellschaftlicher Funktionen notwendig sind. Vor allem im Bereich Gesundheit und Sicherheit angesiedelt, sind kritische Infrastrukturen notwendig, um die Wirtschaft und das soziale Wohlergehen des Staates aufrechtzuerhalten. Als Beispiel können Kraftwerke und Unternehmen, die maßgeblich an der Wasser- und Lebensmittelversorgung beteiligt sind, genannt werden.

  • Welche Sektoren fallen unter kritische Infrastrukturen?

    Es gibt 10 Sektoren, die als KRITS gelten:

    1. Energiesektor (Strom, Gas, Treibstoff, etc.)
    2. Gesundheitssektor (Krankenhäuser, Kliniken, Labore, Rettungsdienst, etc.)
    3. Telekommunikations- und Informationssektor (Netzbetrieb, etc.)
    4. Transport und Verkehr (Nahverkehr, Luftfahrt, etc.)
    5. Mediensektor (Nachrichtendienste, etc.)
    6. Wasserversorgung
    7. Finanz- und Wirtschaftssektor (Banken, Geldautomaten, etc.)
    8. Lebensmittelversorgung und Hygiene (Lieferketten, Einzelhandel, etc.)
    9. Staat und Verwaltung (Parlament, Regierung und Verwaltung, Judikative, Notfall- und Rettungswesen)
    10. Siedlungsabfallentsorgung
  • Wann muss ein Nachweis nach § 8a (3) BSIG erbracht werden?

    Dem Paragraph § 8a Abs. 3 des BSI-Gesetzes zufolge, muss alle zwei Jahre ein Nachweis erbracht werden. Der erste Nachweis musste bis spätestens 2019 erfolgt sein. Wann der nächste Nachweis fällig ist, teilt das BSI in der Regel mit der jeweiligen Prüfung der Nachweisdokumente mit. Den nächsten Prüfungstermin findest du also in deinen Unterlagen.

  • Was muss ich als KRITIS-Betreiber nun tun?

    Alle KRITIS-Betreiber sind verpflichtet innerhalb von 2 Jahren nach Inkrafttreten des IT-Sicherheitsgesetzes „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen“. Damit soll sichergestellt werden, dass die Funktionsfähigkeit der kritischen Infrastrukturen zu jeder Zeit aufrechterhalten werden kann. „Angemessen“ heißt dabei, dass der Aufwand, den die Implementierung bedeutet in Verhältnis zu einem möglichen Schaden durch den Ausfall stehen muss.

    Nachdem die Maßnahmen umgesetzt und die Anforderungen nach §8a BSIG erfüllt sind, muss der KRITIS-Betreiber dies alle 2 Jahre durch ein Sicherheitsaudit nachweisen.

    Weitere Infos findest du hier.

  • Was ist der branchenspezifische Sicherheitsstandard B3S?

    KRITIS-Betreiber oder Branchenverbände können einen B3S (Branchenspezifischen Sicherheitsstandard) vorschlagen und diesen beim Bundesamt zur Prüfung einreichen. Das Bundesamt prüft, ob der B3S die Anforderungen des §8a BSIG auf geeignete Art umsetzt. Gegebenenfalls kann der B3S dann als Prüfungsgrundlage für die kritischen Infrastrukturen dieser Branche dienen. Wenn es für eine Branche keinen B3S gibt, kann auch die ISO 27001 als Prüfungsgrundlage herangezogen werden.

  • Wie verläuft ein Audit nach §8a BSIG?

    Das qualifizierte Audit-Team nutzt die abgestimmte Prüfungsgrundlage (B3S oder ISO 27001). Es wird zunächst der Geltungsbereich festgestellt, also welche Maßnahmen geeignet, erforderlich, wirksam und angemessen sind. Es wird geprüft, ob Schutzbedarf strukturiert festgestellt und Maßnahmen strukturiert abgeleitet wurden. Schließlich wird auditiert, ob die notwendigen Anforderungen vollständig umgesetzt wurden und ob die Funktionsfähigkeit der kritischen Infrastruktur dadurch gewährleistet bleibt.

  • Welche Inhalte werden beim KRITIS-Prüfverfahren (Nachweisverfahren) geprüft?

    Der Orientierungshilfe zu Nachweisen gemäß § 8a (2) BSIG zufolge, darf der Betreiber einer kritischen Infrastruktur die Prüfgrundlage in Abstimmung mit der prüfenden Stelle selbst wählen:

    • Prüfung auf Basis eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S): z.B. B3S medizinische Versorgung der Deutschen Krankenhausgesellschaft (DKG) in der Version 1.1. vom 23.10.2019
    • Prüfung auf Basis der Themenblöcke/Anforderungen gemäß Kap. 4.4 und 5.3 der Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG vom 01.12.2017
    • Prüfung auf Basis vorhandener Prüfungen oder anderer Prüfgrundlagen:
        • z.B. Auditberichte zu ISO/IEC 27001 oder IT-Grundschutz-Audits durch eine unabhängige Prüfstelle, Berichte zu IT-Prüfungen durch Wirtschaftsprüfungsgesellschaften oder die interne Revision
        • Prüfung auf Basis anerkannter Standards und Regelwerken zum Management der Informationssicherheit, wie z.B. ISO/IEC 27000 Normenreihe und/oder IT-Grundschutzkompendium
  • Wer darf KRITIS-Betreiber auditieren?

    Ein Sicherheits-Audit bei KRITIS-Unternehmen darf von akkreditierten Zertifizierungsstellen der DAkkS durchgeführt werden. Auch dürfen anerkannte Prüfstellen des BSI sowie zertifizierte IT-Sicherheitsdienstleister kritische Infrastrukturen auditieren. Im Ausnahmefall kann auch ein individueller Nachweis erbracht werden, dass eine Stelle über die notwendige Prüfungskompetenz und -eignung verfügt. Alle Prüfer müssen nachweisen, dass sie über die „Spezielle Prüfkompetenz nach §8a BSIG“, sowie Branchenkompetenz verfügen. Ersteres wird durch die Zertifizierung belegt, die du nach erfolgreicher Prüfung von der ICO erhältst. Branchenkompetenz wird durch eine Bescheinigung des z.B. Arbeitgebers (Übersicht über Berufserfahrung & Tätigkeiten) belegt. Die Branchenkompetenz gilt dann als vorhanden, wenn eine Person mind. 3 Jahre in den vergangenen 5 Jahren in der Branche tätig war.

  • Was ist wenn ich schon ein ISMS nach ISO 27001 habe?

    Wenn du schon ISMS nach ISO 27001 hast, bist du sicher nicht mehr weit weg davon auch §8a BSIG zu erfüllen. Eine Prüfung muss trotzdem stattfinden, denn es gilt ein paar Besonderheiten zu berücksichtigen: Der §8a enthält ein paar Sonderregelungen bzgl. des Risikomanagements und es muss u.U. auf branchenspezifische Anforderungen und besondere Bedrohungslagen eingegangen werden. Wer sein Informationssicherheitsmanagementsystem allerdings gemäß der Norm aufgesetzt hat, kann die neuen KRITIS-Anforderungen durch §8a BSIG in der Regel leicht implementieren.

    Kennst du die Norm ISO/IEC 27001 noch nicht? Auch hier bieten wir die passende Ausbildung an: ISO 27001 Schulung

  • Was bedeutet NIS-2 für mich als KRITIS-Betreiber?

    Für Betreiber Kritischer Infrastrukturen  bedeutet die neue NIS-2-Richtlinie eine Verschärfung und Erweiterung der bereits bestehenden Anforderungen an die Sicherheit von Netz- und Informationssystemen. Die NIS-2-Richtlinie zielt darauf ab, ein hohes Sicherheitsniveau für digitale Netzwerke und Systeme in der gesamten Europäischen Union sicherzustellen. Mehr zu NIS-2 findest du hier.

  • Wie teuer wird das IT-Sicherheitsgesetz für KRITIS-Betreiber?

    Wie hoch die Kosten sind, die mit der Umsetzung des IT-Sicherheitsgesetzes verbunden sind, hängt davon ab, wie viel die KRITIS-Betreiber bereits in ihre IT-Sicherheit investiert haben. Nachdem das IT-Sicherheitsgesetz vorschreibt, dass schwere IT-Sicherheitsvorfälle meldepflichtig sind, rechnet der Branchenverband Bitkom mit 1,1 Mrd. € Kosten pro Jahr für die deutsche Wirtschaft.

    Bei Nicht-Erfüllung der Anforderungen drohen Bußgelder von bis zu 100.000€.

  • Welche Veränderungen gibt es für IT-Leiter durch das IT-Sicherheitsgesetz?

    Zur Umsetzung des IT-Sicherheitsgesetzes müssen IT-Verantwortliche nun in IT-Sicherheit investieren. Die konkreten Vorschriften lassen kaum mehr Spielraum, Geschäftsführer sind nun im Schadensfall leichter haftbar zu machen. Das Positive ist: Die KRITIS-Bertreiber haben nun die Pflicht schwere Störfälle an das BSI zu melden und das BSI muss diese Störfälle den jeweiligen Wettbewerbern mitteilen. Bei Cyberangriffen, die sich gegen eine bestimmte Branche richten, werden IT-Leiter frühzeitig gewarnt.

  • Wie sieht ein KRITIS-Audit konkret aus?

    Zunächst wird der Status-Quo der IT-Infrastruktur bewertet und der Geltungsbereich des KRITIS-Audits bestimmt. Es kann nämlich sein, dass es Unternehmensteile gibt, die nicht Teil der kritischen Infrastruktur sind, bzw. nur am Rande zu ihr beitragen. Diese könnten dann ggf. beim Audit außen vor gelassen werden. Als dritter vorbereitender Schritt folgt dann die Bestimmung der Prüfgrundlage. Gibt es einen B3S?

    Schließlich werden im Audit nach Schwachstellen in der IT-Sicherheit gesucht. Die gefundenen Schwachstellen werden schließlich priorisiert und ein Maßnahmenkatalog erstellt. Dieser Maßnahmenkatalog muss dann bis zum folgenden Audit umgesetzt werden.

  • Wo finde ich mehr Informationen zu Nachweisen gemäß § 8a Absatz 3 BSIG?
+49 89 - 44 44 31 88 0