Die Solidaris erfüllt seit März dieses Jahres die Voraussetzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und kann als sogenannte „Prüfende Stelle“ Betreiber Kritischer Infrastrukturen (KRITIS) im Gesundheitswesen nach § 8a BSIG prüfen. Durchgeführt werden entsprechende Prüfungen durch erfahrene Prüferteams mit der entsprechenden Prüfverfahrenskompetenz nach § 8a Abs. 3 BSIG.
KRITIS-Betreiber sind nach § 8a Abs. 1 BSIG dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen. Die Betreiber Kritischer Infrastrukturen müssen mindestens alle zwei Jahre die Erfüllung der zuvor genannten Anforderungen auf „geeignete Weise“ nachweisen. Als Prüfungsgrundlage können herangezogen werden:
- Die Orientierungshilfe zu branchenspezifischen Sicherheitsstandards (B3S) nach § 8a Abs. 2 BSIG,
- andere B3S gemäß 8a Abs. 2 BSIG, deren Eignung festgestellt wurde, oder
- einschlägige Standards wie zum Beispiel Zertifizierungsschemata nach ISO 27001.
Bei der Auswahl der Prüfungsgrundlage ist einem branchenspezifischen Sicherheitsstandard für den Sektor
Gesundheit nach Eignungsfeststellung durch das BSI der Vorzug zu geben. Aktuell befindet sich ein B3S für den Sektor Gesundheit noch im Abstimmungsprozess, seine Veröffentlichung wird jedoch für das 3. Quartal 2018 erwartet. Liegt kein B3S vor und wird daher ein anderes Prüfverfahren zum Nachweis der Erfüllung der Anforderungen herangezogen, so ist der Beschreibung des Prüfungsumfangs (Scope) noch mehr als bisher Bedeutung beizumessen. Wird der Umfang der Prüfung zu gering bemessen, so besteht die Gefahr, dass wesentliche informationstechnische Systeme, Komponenten und Prozesse außer Acht gelassen werden. Infolgedessen können Sicherheitsmängel zu einem akuten Handlungsbedarf führen und gegebenenfalls Geldbußen von bis zu 50.000 € nach sich ziehen.
Wird der Scope zu weit gefasst, so kann ein erhöhter Aufwand für die Vorbereitung der Prüfung die Folge sein. Dies sollte, insbesondere vor dem Hintergrund der Vielzahl der umzusetzenden Maßnahmen, verhindert werden. Andernfalls besteht das Risiko, dass die Prüfung und somit die Prüfungsergebnisse nicht rechtzeitig bis zum 30. Juni 2019 beim BSI eingereicht werden können. Wir empfehlen, den Scope im Vorfeld der Prüfung zwischen KRITIS-Betreiber und prüfender Stelle zu klären, damit sich beide Seiten auf den zu erwartenden Aufwand einstellen können. Die Eignung des Scopes ist stets Gegenstand der Prüfung nach § 8a Abs. 3 BSIG und muss von der prüfenden Stelle gegenüber dem BSI bestätigt werden.
Der KRITIS-Betreiber beauftragt eine prüfende Stelle mit der Prüfung der Erfüllung der Anforderungen nach § 8a Abs. 1 BSIG. Die prüfende Stelle wiederum benennt ein Prüferteam mit Prüfverfahrenskompetenz nach § 8a Abs. 3 BSIG. Die Ergebnisse der Prüfung werden durch die prüfende Stelle an den KRITIS-Betreiber weitergeleitet. Die Kommunikation über die Prüfung und deren Ergebnisse erfolgt dabei im Regelfall nur zwischen dem KRITIS-Betreiber und dem BSI.
Nicht selten erleben wir in der Praxis, dass Teilbereiche oder Prozesse auf Dritte ausgelagert werden. Der Betreiber einer Kritischen Infrastruktur ist für die Umsetzung des § 8a BSIG in seinem Unternehmen verantwortlich. Somit muss er auch in den Fällen die Erfüllung der entsprechenden Anforderungen sicherstellen, in denen er die Leistung auf einen Dienstleister ausgelagert hat. In diesen Fällen empfiehlt es sich, frühzeitig die Umsetzungsverpflichtungen in die vertraglichen Vereinbarungen mit dem externen Dienstleister aufzunehmen und deren Einhaltung regelmäßig zu kontrollieren.
Praxis-Hinweis
Die Solidaris begleitet und prüft Betreiber Kritischer Infrastrukturen im Hinblick auf die Anforderungen nach § 8a BSIG. Zugleich unterstützen wir Sie bei der Steuerung und Kontrolle externer Dienstleister vor dem Hintergrund des BSIG.