0

Prüfverfahrenskompetenz für § 8a BSIG (KRITIS)

Kritis-Kompetenzvermittlung

KRITIS-Prüfverfahren: Prüfung kritischer Infrastrukturen nach § 8a BSIG

Mit dem IT-Sicherheitsgesetz wurde eine zusätzliche Vorsichtsmaßnahme für kritische Infrastrukturen getroffen: Als Betreiber ein solchen müssen Sie alle zwei Jahre nachweisen, dass sie Vorkehrungen getroffen haben, um Störungen in Verfügbarkeit und Informationssicherheit zu vermeiden. Die Prüfung der kritischen Infrastrukturen muss dafür gemäß des KRITIS-Nachweisverfahrens nach §8a (3) BSIG erfolgen. Um diese durchführen zu dürfen, benötigen Sie die Zertifizierung „Prüfverfahrenskompetenz für § 8a (3) BSIG“.

Warum KRITIS-Prüfungskompetenz mit mITSM?

Als langjährige Experten im Bereich Schulung für IT-Sicherheit, haben wir unser Portfolio um das KRITIS-Nachweisverfahren ergänzt. Gemeinsam mit unserem Partner der AuraSec GmbH sind wir vom BSI anerkannt und autorisiert, Sie in KRITIS-Prüfverfahren „Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“ zu schulen. Damit geben wir Sicherheitsverantwortlichen kritischer Infrastrukturen das praktische Werkzeug an die Hand, ihre Systeme zu prüfen und deren Sicherheit dem Standard entsprechend nachzuweisen.

Kritis – Prüfverfahrenskompetenz für § 8a BSIG

In dieser zweitägigen Schulung bereiten wir Sie auf die Prüfung kritischer Infrastrukturen im Rahmen der Umsetzung des § 8a (3) des BSI-Gesetzes vor. Nach Bestehen der Zertifizierungsprüfung am Ende der Schulung sind Sie als Auditor zur Durchführung von Prüfungen entsprechend dieses Gesetzes befugt. Wir vermitteln Ihnen einen Überblick über KRITIS und zeigen Ihnen, wie Sie Prüfungen nach § 8a BSIG effizient vorbereiten und wie Sie diese konkret durchführen.

  • Zertifikat "Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG"
  • Intensive Prüfungsvorbereitung
  • Schulungspaket mit Unterlagen
  • Verpflegung während des Trainings
  • ÖPNV-Tickets für München
€ 1.650,- zzgl. Mwst.
Zertifizierungsprüfung (optional)
€ 250,- zzgl. Mwst.
  1. Termine
  2. Inhalte
  3. Zertifizierung
  4. Voraussetzungen
Termin Ort Preis* Prüfung**
Di 26.10. bis
Mi 27.10.2021

Online Live

Termingarantie
Termingarantie 1.650,- 250,-
Di 07.12. bis
Mi 08.12.2021

Online Live

1.650,- 250,-
Di 08.02. bis
Mi 09.02.2022

Online Live

1.650,- 250,-
Mi 27.04. bis
Do 28.04.2022

München – Ridlerstraße 57

1.650,- 250,-
Do 02.06. bis
Fr 03.06.2022

Online Live

1.650,- 250,-
Mehr Termine
*Nettopreise **optional

Ist diese Schulung für mich geeignet?

Wenn Sie als Prüfer, interner Revisor, Auditor oder Wirtschaftsprüfer mit IT-Erfahrung kritische Infrastrukturen prüfen möchten, ist diese Schulung das Richtige für Sie. Auch als Mitarbeiter eines Betreibers für kritische Infrastrukturen, oder eines Unternehmens, das an dessen Sicherheits-Prüfung beteiligt ist, ist diese Fortbildung für Sie geeignet.

Welchen konkreten Nutzen ziehe ich aus dieser Schulung?

Nach dieser Schulung kennen Sie den Paragraphen § 8a BSIG und wissen, wie Sie die Sicherheit kritischer Infrastrukturen entsprechend nachweisen können. Nach Bestehen der Zertifizierungsprüfung sind Sie zudem offiziell befugt dazu, die Audits durchzuführen, die alle zwei Jahre fällig sind.

Agenda

Tag 1: 09:00 – ca. 16:00 Uhr

Tag 2: 09:00 – ca. 16:00 Uhr

Die Schulung ist in fünf Module gegliedert:

  1. Vorstellung des BSI
  2. Kritische Infrastrukturen und das IT-Sicherheitsgesetz (IT-SiG)
  3. Die BSI-Kritisverordnung (BSI-KritisV) und der Geltungsbereich
  4. Die Prüfgrundlage
  5. Nachweise gemäß § 8a (3) BSIG
  6. Abschlussprüfung und Prüfungsfragen

Wie erhalte ich meine Zertifizierung für KRITIS-Prüfverfahrenskompetenz?

Es handelt sich bei dieser Zertifizierung um eine Online-Prüfung. Sie entscheiden, wann und wo Sie die Prüfung ablegen. Die Prüfungsabnahme und Zertifizierung erfolgt durch die AuraSec GmbH. Die AuraSec GmbH ist akkreditierter Schulungsanbieter des BSI für die „Zusätzliche Prüfverfahrenskompetenz nach § 8a (3) BSIG“.

Der Prüfungsanbieter schickt Ihnen eine E-Mail mit allen Informationen zu. Sie benötigen nur eine Webcam (Laptop-Kamera), um die Prüfung abzulegen. Das Zertifikat ist 2 Jahre gültig.

Welches Format hat die Zertifizierungsprüfung?

  • Dauer: 60 Minuten
  • Multiple-Choice-Prüfung
  • Sprache: Deutsch

Es gibt keine Teilnahmevoraussetzungen für diese Schulung. Wir empfehlen sie allerdings für Auditoren mit IT-Prüfungserfahrung.

?

FAQ - Fragen und Antworten zur KRITIS Prüfungskompetenz

  • Was ist das BSI?

    Das BSI ist das Bundesamt für Sicherheit in der Informationstechnik. Es handelt sich um eine Bundesbehörde, die zum Bundesministerium des Innern, für Bau und Heimat gehört. Es handelt sich um die Behörde, die für Fragen der IT-Sicherheit zuständig ist. Das BSI ist Urheber des IT-Sicherheitsgesetz, das unter anderem strengere Regelungen für kritische Infrastrukturen beschlossen hat. So reagiert das BSI auf die steigenden Bedrohungen im Bereich Cyberkriminalität.

  • Wer muss einen Nachweis nach § 8a (3) BSIG erbringen?

    Der Nachweis muss von allen Betreibern von deutschen kritischen Infrastrukturen erbracht werden. Als kritische Infrastrukturen gelten Anlagen und Systeme, die zur Aufrechterhaltung essentieller gesellschaftlicher Funktionen notwendig sind. Vor allem im Bereich Gesundheit und Sicherheit angesiedelt, sind kritische Infrastrukturen notwendig, um die Wirtschaft und das soziale Wohlergehen des Staates aufrechtzuerhalten. Als Beispiel können Kraftwerke und Unternehmen, die maßgeblich an der Wasser- und Lebensmittelversorgung beteiligt sind, genannt werden.

  • Welche Sektoren fallen unter kritische Infrastrukturen?

    Es gibt 10 Sektoren, die als KRITS gelten:

    1. Energiesektor (Strom, Gas, Treibstoff, etc.)
    2. Gesundheitssektor (Krankenhäuser, Kliniken, Labore, Rettungsdienst, etc.)
    3. Telekommunikations- und Informationssektor (Netzbetrieb, etc.)
    4. Transport und Verkehr (Nahverkehr, Luftfahrt, etc.)
    5. Mediensektor (Nachrichtendienste, etc.)
    6. Wasserversorgung
    7. Finanz- und Wirtschaftssektor (Banken, Geldautomaten, etc.)
    8. Lebensmittelversorgung und Hygiene (Lieferketten, Einzelhandel, etc.)
    9. Staat und Verwaltung (Polizei, Justiz, Gesetzgebung, etc.)
  • Wann muss ein Nachweis nach § 8a (3) BSIG erbracht werden?

    Dem Paragraph § 8a Abs. 3 des BSI-Gesetzes zufolge, muss alle zwei Jahre ein Nachweis erbracht werden. Der erste Nachweis musste bis spätestens 2019 erfolgt sein. Wann der nächste Nachweis fällig ist, teilt das BSI in der Regel mit der jeweiligen Prüfung der Nachweisdokumente mit. Ihren nächsten Prüfungstermin finden Sie also in Ihren Unterlagen.

  • Was muss ich als KRITIS-Betreiber nun tun?

    Alle KRITIS-Betreiber sind verpflichtet innerhalb von 2 Jahren nach in Kraft treten des IT-Sicherheitsgesetzes „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen“. Damit soll sichergestellt werden, dass die Funktionsfähigkeit der kritischen Infrastrukturen zu jeder Zeit aufrechterhalten werden kann. „Angemessen“ heißt dabei, dass der Aufwand, den die Implementierung bedeutet in Verhältnis zu einem möglichen Schaden durch den Ausfall stehen muss.

    Nachdem die Maßnahmen umgesetzt und die Anforderungen nach §8a BSIG erfüllt sind, muss der KRITIS-Betreiber dies alle 2 Jahre durch ein Sicherheitsaudit nachweisen.

    Weitere Infos finden Sie hier.

  • Was ist der branchenspezifische Sicherheitsstandrad B3S?

    KRITIS-Betreiber oder Branchenverbände können einen B3S (Branchenspezifischen Sicherheitsstandard) vorschlagen und diesen beim Bundesamt zur Prüfung einreichen. Das Bundesamt prüft, ob der B3S die Anforderungen des §8a BSIG auf geeignete Art umsetzt. Gegebenenfalls kann der B3S dann als Prüfungsgrundlage für die kritischen Infrastrukturen dieser Branche dienen. Wenn es für eine Branche keinen B3S gibt, kann auch die ISO 27001 als Prüfungsgrundlage herangezogen werden.

  • Wie verläuft ein Audit nach §8a BSIG?

    Das qualifizierte Audit-Team nutzt die abgestimmte Prüfungsgrundlage (B3S oder ISO 27001). Es wird zunächst der Geltungsbereich festgestellt, also welche Maßnahmen geeignet, erforderlich, wirksam und angemessen sind. Es wird geprüft, ob Schutzbedarf strukturiert festgestellt und Maßnahmen strukturiert abgeleitet wurden. Schließlich wird auditiert, ob die notwendigen Anforderungen vollständig umgesetzt wurden und ob die Funktionsfähigkeit der kritischen Infrastruktur dadurch gewährleistet bleibt.

  • Welche Inhalte werden beim KRITIS-Prüfverfahren (Nachweisverfahren) geprüft?

    Der Orientierungshilfe zu Nachweisen gemäß § 8a (2) BSIG zufolge, darf der Betreiber einer kritischen Infrastruktur darf die Prüfgrundlage in Abstimmung mit der prüfenden Stelle selbst wählen:

    • Prüfung auf Basis eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S): z.B. B3S medizinische Versorgung der Deutschen Krankenhausgesellschaft (DKG) in der Version 1.1. vom 23.10.2019
    • Prüfung auf Basis der Themenblöcke/Anforderungen gemäß Kap. 4.4 und 5.3 der Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG vom 01.12.2017
    • Prüfung auf Basis vorhandener Prüfungen oder anderer Prüfgrundlagen:
        • z.B. Auditberichte zu ISO/IEC 27001 oder IT-Grundschutz-Audits durch eine unabhängige Prüfstelle, Berichte zu IT-Prüfungen durch Wirtschaftsprüfungsgesellschaften oder die interne Revision
        • Prüfung auf Basis anerkannter Standards und Regelwerken zum Management der Informationssicherheit, wie z.B. ISO/IEC 27000 Normenreihe und/oder IT-Grundschutzkompendium
  • Wer darf KRITIS-Betreiber auditieren?

    Ein Sicherheits-Audit bei KRITIS-Unternehmen darf von akkreditierten Zertifizierungsstellen der DAkkS durchgeführt werden. Auch dürfen anerkannte Prüfstellen des BSI sowie zertifizierte IT-Sicherheitsdienstleister kritische Infrastrukturen auditieren. Im Ausnahmefall kann auch ein individueller Nachweis erbracht werden, dass eine Stelle über die notwendige Prüfungskompetenz und -eignung verfügt. Alle Prüfer müssen nachweisen, dass sie über die „Spezielle Prüfkompetenz nach §8a BSIG“, sowie Branchenkompetenz verfügen. Ersteres wird durch die Zertifizierung belegt, die Sie nach erfolgreicher Prüfung von der ICO erhalten. Branchenkompetenz wird durch eine Bescheinigung des z.B. Arbeitgebers (Übersicht über Berufserfahrung & Tätigkeiten) belegt. Die Branchenkompetenz gilt dann als vorhanden, wenn eine Person mind. 3 Jahre in den vergangenen 5 Jahren in der Branche tätig war.

  • Was ist wenn ich schon ein ISMS nach ISO 27001 habe?

    Wenn Sie schon ISMS nach ISO 27001 haben, sind Sie sicher nicht mehr weit weg davon auch §8a BSIG zu erfüllen. Eine Prüfung muss trotzdem stattfinden, denn es gilt ein paar Besonderheiten zu berücksichtigen: Der §8a enthält ein paar Sonderregelungen bzgl. des Risikomanagements und es muss u.U. auf branchenspezifische Anforderungen und besondere Bedrohungslagen eingegangen werden. Wer sein Informationssicherheitsmanagementsystem allerdings gemäß der Norm aufgesetzt hat, kann die neuen KRITIS-Anforderungen durch §8a BSIG in der Regel leicht implementieren.

    Kennen Sie die Norm ISO/IEC 27001 noch nicht? Auch hier bieten wir die passende Ausbildung an: ISO 27001 Schulung

  • Wie teuer wird das IT-Sicherheitsgesetz für KRITIS-Betreiber?

    Wie hoch die Kosten sind, die mit der Umsetzung des IT-Sicherheitsgesetzes verbunden sind, hängt davon ab, wie viel die KRITIS-Betreiber bereits in ihre IT-Sicherheit investiert haben. Nachdem das IT-Sicherheitsgesetz vorschreibt, dass schwere IT-Sicherheitsvorfälle meldepflichtig sind, rechnet der Branchenverband Bitkom mit 1,1 Mrd. € Kosten pro Jahr für die deutsche Wirtschaft.

    Bei Nicht-Erfüllung der Anforderungen drohen Bußgelder von bis zu 100.000€.

  • Welche Veränderungen gibt es für IT-Leiter durch das IT-Sicherheitsgesetz?

    Zur Umsetzung des IT-Sicherheitsgesetzes müssen IT-Verantwortliche nun in IT-Sicherheit investieren. Die konkreten Vorschriften lassen kaum mehr Spielraum, Geschäftsführer sind nun im Schadensfall leichter haftbar zu machen. Das Positive ist: Die KRITIS-Bertreiber haben nun die Pflicht schwere Störfälle an das BSI zu melden und das BSI muss diese Störfälle den jeweiligen Wettbewerbern mitteilen. Bei Cyberangriffen, die sich gegen eine bestimmte Branche richten, werden IT-Leiter als frühzeitig gewarnt.

  • Wie sieht in KRITIS-Audit konkret aus?

    Zunächst wird der Satus-Quo der IT-Infrastruktur bewertet und der Geltungsbereich des KRITIS-Audits bestimmt. Es kann nämlich sein, dass es Unternehmensteile gibt, die nicht Teil der Kritischen Infrastruktur sind, bzw. nur am Rande zu ihr beitragen. Diese könnten dann ggf. beim Audit außen vor gelassen werden. Als dritter vorbereitender Schritt folgt dann die Bestimmung der Prüfgrundlage. Gibt es einen B3S?

    Schließlich werden im Audit nach Schwachstellen in der IT-Sicherheit gesucht. Die gefundenen Schwachstellen werden schließlich priorisiert und ein Maßnahmenkatalog erstellt. Dieser Maßnahmenkatalog muss dann bis zum folgenden Audit umgesetzt werden.

+49 89 - 44 44 31 88 0