Kontakt Kontakt Downloads Downloads

GAP View GmbH

Schauenburgerstr. 116
24118 Kiel
T: +49 431 9799 59 12
F: +49 431 9799 59 16 info@gap-view.de

Prüfung §8a Abs. 1a BSIG

Prüfung der Systeme zur Angriffserkennung (SzA)§ 8 a Absatz 1a BSIG für KRITIS-Betreiber

Ab dem 01. Mai 2023 sind die Betreiber Kritischer Infrastrukturen dazu verpflichtet, Systeme zur Angriffserkennung nach dem geltenden Stand der Technik einzusetzen, durch unabhängigen Auditoren prüfen lassen und dies gegenüber dem BSI nachzuweisen.

„Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“ 8§ 8a Absatz 1a Satz 1, 2 BSIG]

Darüber hinaus muss der Einsatz der Angriffserkennungssystemen alle zwei Jahre überprüft und gegenüber dem BSI nachgewiesen werden.

„Betreiber Kritischer Infrastrukturen haben die Erfüllung der Anforderungen nach den Absätzen 1 und 1a spätestens zwei Jahre nach dem in Absatz 1 genannten Zeitpunkt und anschließend alle zwei Jahre dem Bundesamt nachzuweisen“ [§ 8a Absatz 3 Satz 1 BSIG]

Step-by-StepPrüfung der gesetzeskonformen Umsetzung der Sicherheitsmaßnahmen

Mit GAP View Software kann der Umsetzungsgrad der eingesetzten Systeme gemäß § 8 a Absatz 1a BSIG für KRITIS-Betreiber bestimmt und alle zwei Jahre überprüft werden.

Step 1. Audit-Stammdaten erfassen
  • Erfassung der Stammdaten des Betreibers Kritischer Infrastruktur und beteiligten Institutionen sowie im Audit involvierten Mitarbeiter (Auditoren, Mitarbeiter ggf. Sachverständiger) mit den erforderlichen Informationen bzgl. der Rolle/Funktion, Kompetenzen/Qualifikationen und Kontaktdaten.

Step 2. Import von Fragenkatalogen
  • Die GAP View stellt folgende bausteinbezogene Fragenkataloge gemäß der BSI Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung bereit:
    • OPS.1.1.4 Schutz vor Schadprogrammen,
    • OPS.1.1.5 Protokollierung,
    • NET.1.2 Netzmanagement,
    • NET.3.2 Firewall,
    • DER.1 Detektion von sicherheitsrelevanten Ereignissen,
    • DER.2.1: Behandlung von Sicherheitsvorfällen
  • Alle Fragenkataloge können individuell ergänzt werden.
  • Den einzelnen Sicherheitsanforderungen eines Bausteins in der Checkliste können die geplanten oder geschätzten Auditzeiten zugeordnet werden. Sie werden im weiteren Verlauf der Auditplanung berücksichtigt.
  • Die erstellte Checklisten werden zentral verwaltet und berechtigten Auditoren zur Verfügung gestellt.
Step 3. Festlegung des Auditprogramms
  • Gemäß dem BSIG müssen die Audits regelmäßig, alle zwei Jahre wiederholt werden. Die Planung erfolgt in eine Auditprogramm oder in einem IS-Revisionsverfahren, in dem die notwendigen organisatorischen und personellen Rahmenbedingungen geregelt sind.
Step 4. bis Step 9. Planung eines Audits
Step 10. Durchführung einer IS-Revision
  • Dem Auditorenteam steht eine Liste der für die Prüfung ausgewählten Anforderungen zur Verfügung. Anhand der Statusanzeige kann einfach festgestellt werden, welche der Anforderungen bereits abgearbeitet (GRÜN), in Bearbeitung (ORANGE) oder noch nicht begonnen (ROT) sind.

  • Der Auditor dokumentiert die Feststellung ggf. mit einem Nachweis als Anhang.

  • Abschließend bewertet den Sachverhalt gemäß dem Umsetzungsgradmodell auf der Skala von 0 bis 5 (§ 8a Absatz 1a BSIG bzw. nach § 11 Absatz 1e EnWG).
Step 11. Auditbericht
  • Dem Auditorenteam stehen zwei Standard-Berichte zu Verfügung. Das sind eine Kurz- und eine detaillierte Fassung. Die Kurzfassung besteht aus dem Inhaltsverzeichnis, der Darstellung der organisatorischen Aspekte der IS-Revision, einer Zusammenfassung der Ergebnisse und der Bewertung der einzelnen Anforderungen mit den Feststellungen.

  • Die detaillierte Fassung listet zusätzlich die Bewertungen aller im Audit gestellten Fragen auf.  

Step 12. Abweichungen und Korrekturmaßnahmen
  • Die festgestellten Abweichungen werden aufgelistet und können involvierten Mitarbeiter für die Durchführung der Korrekturmaßnahmen zugeordnet werden.

Kontaktformular

Nutzen Sie das Formular, wenn Sie mehr über GAP View GmbH und unsere Beratungsleistungen erfahren möchten.

Was ist die Summe aus 9 und 1?

* Pflichtfelder