Im Gesetz ist zum Prüfnachweis gemäß § 8a BSI-Gesetz folgendes geregelt: Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Wie das im Groben funktioniert beschreibt das BSI in einer “Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG”. Vereinfacht gesagt sind danach folgende Schritte seitens des Betreibers einer kritischen Infrastruktur zu erbringen:
- Umsetzen geeigneter Maßnahmen
- Prüfende Stelle mit einer Prüfung beauftragen
- Im Rahmen der Prüfung als Ansprechpartner Auskunft geben
- Nachweisdokument der Prüfung an das BSI übersenden
Da schließt sich gleich die Frage an:
Wen nehme ich als Prüfer, wer ist dafür geeignet?
Ein Kriterium für die Auswahl eines geeigneten Prüfers ist dabei die nachgewiesene Eignung der Prüfverfahrenskompetenz für § 8a (3) BSIG. Eine solche zusätzliche Prüfverfahrenskompetenz kann durch eine Schulung nach BSI-Schulungskonzept erworben werden.Tipp
Die Prüfverfahrens-Kompetenz für § 8a BSIG ist jedoch gemäß BSI Orientierungshilfe nur ein Kriterium für die Auswahl geeigneter Prüfer. Weiterhin zu achten ist auf Kompetenzen in den Bereichen Audit, IT-Sicherheit und Branchenwissen (siehe 4.2 in vorgenannter Orientierungshilfe). Branchenkompetenz ist um so wichtiger, solange kein anerkannter branchenspezifischer Sicherheitsstandard (B3S) vorliegt.