KRITIS: individuelle Frist zur Einreichung der Folgenachweise

20.11.2019

KRITIS: individuelle Frist zur Einreichung der Folgenachweise

Im Gegensatz zum ersten Stichtag der jeweiligen KRITIS-Branche (03.05.2018 bzw. 30.06.2019) sind die Stichtage der Folgenachweise nicht so eindeutig geregelt

Bei der erstmaligen Prüfung nach KRITIS §8a (3) BSIG waren die Fristen eindeutig formuliert. Der erste Korb (Energie, Wasser, Ernährung, Informationstechnik & Telekommunikation) musste bis zum 03.05.2018 die vier Nachweisdokumente (Blatt KI, PE, PD, PS) beim BSI einreichen. Der zweite Korb (Gesundheit, Transport, Finanz & Versicherungen) hatte fast ein Jahr (Frist 30.06.2019) länger Zeit, um die Nachweisdokumente einzureichen. Dazu kamen noch vereinzelt Sondergenehmigungen, die betroffene Unternehmen vom BSI anfordern konnten, um den Termin zu verschieben.

Das sagt die Orientierungshilfe zum Einreichen von Nachweisen gemäß § 8a (3) BSIG

Die alte Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG Version 0.9.02 vom 30.06.2017 sagte über das Thema Nachweisdokumente nur einen Satz.

„6.3 Nachweisdokument (Formulare)

Die als Nachweisdokument zur Verwendung vorgesehenen Formulare sind auf der Website des BSI unter www.bsi.bund.de/Nachweise veröffentlicht.“ - Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG Version 0.9.02 vom 30.06.2017 6.3

Dort hatte man sich noch nicht viel mit dem Verfahren zum Einreichen von Nachweisen und Folgenachweisen beschäftigt. Dies änderte sich mit der Revision der Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG Version 1.0 vom 15.05.2019.

Das Thema Nachweisdokumente (Kapitel 6) umfasst nun vier DIN A4 Seiten und regelt nun sämtliche Themen vom Zeitpunkt der Einreichung über die Wege zur Übermittlung der Dokumente bis zur Rückmeldung des BSI.

Unternehmensfrist ist abhängig vom ersten Einreichen der Nachweise

Die individuelle Unternehmensfrist berechnet sich anhand des Schreibens des BSI, das jedes Unternehmen als Antwort auf die Einsendung der Dokumente bekommt. Das dort aufgeführte Datum ist ausschlaggebend für die Berechnung der Nachfolgefrist (+ 2 Jahre).

Beispiel aus der Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG Version 1.0 vom 15.05.2019:

Ablauf der Frist zur Erbringung des erstmaligen Nachweises gemäß § 8a Absatz 3 BSIG (Korb 1): 03.05.2018
Einreichung der Nachweisdokumente: 15.04.2018
Ablauf der Frist zur Erbringung des Folgenachweises gemäß § 8a Absatz 3 BSIG: 15.04.2020

Nachweiserbringung alle zwei Jahre ist die Mindestanforderung, öfter ist möglich

Es ist durchaus gestattet, eine jährliche Nachweiserbringung durchzuführen, etwa wenn das KRITIS System mit einem ISO 27001 Managementsystem verbunden ist. So kann der ISO 27001-Zyklus beibehalten werden, darüber hinaus erhöht eine kontinuierliche (Jährliche) KRITIS-Prüfung auch die Effektivität, da Risiken und Schwachstellen frühzeitig gefunden werden.

Ihr Ansprechpartner bei der GUTcert

Fragen oder Hinweise zum Thema Informationssicherheit richten Sie gerne an Marcel Däfler.

Zurück