Solidaris als „Prüfende Stelle“ im Sinne des BSIG

Die Solidaris erfüllt seit März dieses Jahres die Voraussetzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und kann als sogenannte „Prüfende Stelle“ Betreiber Kritischer Infrastrukturen (KRITIS) im Gesundheitswesen nach § 8a BSIG prüfen. Durchgeführt werden entsprechende Prüfungen durch erfahrene Prüferteams mit der entsprechenden Prüfverfahrenskompetenz nach § 8a Abs. 3 BSIG.

KRITIS-Betreiber sind nach § 8a Abs. 1 BSIG dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen. Die Betreiber Kritischer Infrastrukturen müssen mindestens alle zwei Jahre die Erfüllung der zuvor genannten Anforderungen auf „geeignete Weise“ nachweisen. Als Prüfungsgrundlage können herangezogen werden:

  •  Die Orientierungshilfe zu branchenspezifischen Sicherheitsstandards (B3S) nach § 8a Abs. 2 BSIG,
  •  andere B3S gemäß 8a Abs. 2 BSIG, deren Eignung festgestellt wurde, oder
  •  einschlägige Standards wie zum Beispiel Zertifizierungsschemata nach ISO 27001.

Bei der Auswahl der Prüfungsgrundlage ist einem branchenspezifischen Sicherheitsstandard für den Sektor
Gesundheit nach Eignungsfeststellung durch das BSI der Vorzug zu geben. Aktuell befindet sich ein B3S für den Sektor Gesundheit noch im Abstimmungsprozess, seine Veröffentlichung wird jedoch für das 3. Quartal 2018 erwartet. Liegt kein B3S vor und wird daher ein anderes Prüfverfahren zum Nachweis der Erfüllung der Anforderungen herangezogen, so ist der Beschreibung des Prüfungsumfangs (Scope) noch mehr als bisher Bedeutung beizumessen. Wird der Umfang der Prüfung zu gering bemessen, so besteht die Gefahr, dass wesentliche informationstechnische Systeme, Komponenten und Prozesse außer Acht gelassen werden. Infolgedessen können Sicherheitsmängel zu einem akuten Handlungsbedarf führen und gegebenenfalls Geldbußen von bis zu 50.000 € nach sich ziehen.

Wird der Scope zu weit gefasst, so kann ein erhöhter Aufwand für die Vorbereitung der Prüfung die Folge sein. Dies sollte, insbesondere vor dem Hintergrund der Vielzahl der umzusetzenden Maßnahmen, verhindert werden. Andernfalls besteht das Risiko, dass die Prüfung und somit die Prüfungsergebnisse nicht rechtzeitig bis zum 30. Juni 2019 beim BSI eingereicht werden können. Wir empfehlen, den Scope im Vorfeld der Prüfung zwischen KRITIS-Betreiber und prüfender Stelle zu klären, damit sich beide Seiten auf den zu erwartenden Aufwand einstellen können. Die Eignung des Scopes ist stets Gegenstand der Prüfung nach § 8a Abs. 3 BSIG und muss von der prüfenden Stelle gegenüber dem BSI bestätigt werden.

Der KRITIS-Betreiber beauftragt eine prüfende Stelle mit der Prüfung der Erfüllung der Anforderungen nach § 8a Abs. 1 BSIG. Die prüfende Stelle wiederum benennt ein Prüferteam mit Prüfverfahrenskompetenz nach § 8a Abs. 3 BSIG. Die Ergebnisse der Prüfung werden durch die prüfende Stelle an den KRITIS-Betreiber weitergeleitet. Die Kommunikation über die Prüfung und deren Ergebnisse erfolgt dabei im Regelfall nur zwischen dem KRITIS-Betreiber und dem BSI.

Nicht selten erleben wir in der Praxis, dass Teilbereiche oder Prozesse auf Dritte ausgelagert werden. Der Betreiber einer Kritischen Infrastruktur ist für die Umsetzung des § 8a BSIG in seinem Unternehmen verantwortlich. Somit muss er auch in den Fällen die Erfüllung der entsprechenden Anforderungen sicherstellen, in denen er die Leistung auf einen Dienstleister ausgelagert hat. In diesen Fällen empfiehlt es sich, frühzeitig die Umsetzungsverpflichtungen in die vertraglichen Vereinbarungen mit dem externen Dienstleister aufzunehmen und deren Einhaltung regelmäßig zu kontrollieren.

Praxis-Hinweis
Die Solidaris begleitet und prüft Betreiber Kritischer Infrastrukturen im Hinblick auf die Anforderungen nach § 8a BSIG. Zugleich unterstützen wir Sie bei der Steuerung und Kontrolle externer Dienstleister vor dem Hintergrund des BSIG.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
CISA/CISO
Oliver Schikora
+49 (0)2203 8997-228
 
Prokurist der Solidaris Revisions-GmbH WPG STB, Köln, Leiter Geschäftsfeld IT-Beratung/Geschäftsbereich Unternehmensberatung

Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

Schikora

Bei Solidaris seit 2004

Qualifikationen

  • Certified Information Systems Auditor (CISA)
  • Chief Information Security Officer (CISO) ISO/IEC 27001/BSI-ITGrundschutz
  • IT-Auditor IDW
  • IT-Security Beauftragter (TÜV)
  • Dipl.-Betriebswirt (FH), Fachhochschule Koblenz

Schwerpunkte

  • Systemprüfungen im Rahmen von Jahresabschlussprüfungen, IT-Revision sowie datenanalytische Prüfungen
  • Langjährige Verantwortung als Prüfungsleiter für Jahresabschlussprüfungen und prüfungsnahe Beratungsleistungen bei gemeinnützigen Organisationen
  • Erfahrung in der Prüfung und Optimierung IT-gestützter Geschäftsprozesse
  • Begleitung von Software-MigrationenErfahrung im Auf- und Ausbau informationstechnischer Sicherheitssysteme (z. B. ISMS n. DIN ISO 27001)
  • Referent bei verschiedenen internen und externen Fortbildungsveranstaltungen im Bereich der IT-Revision
  • Autorentätigkeit
  • Leitung des KompetenzTeam Prüfungsnahe IT-Anwendungen der Solidaris

Mitgliedschaften

  • ISACA International/German Chapter
  • Deutsches Institut für Interne Revision e. V. (DIIR)

Veröffentlichungen in der Fachpresse
2020

  • Datenschutz und Informationssicherheit in der Altenhilfe: So schützen Sie sich und die Daten der von Ihnen betreuten Menschen: Pflege Management, 2-3/2020, S. 10.

Veröffentlichungen in der Fachpresse
2019

  • Prüfung jetzt!: Health&Care Management, 4/2019, S. 60-61.
  • IT-Sicherheit 2019: Best Practice und typische Fallstricke im Krankenhaus: Wümek, 5/2019,
    S. 126-127.
  • Wie sichern Sie Ihre Kronjuwelen? Der Umgang mit Informationswerten im digitalen Zeitalter: PflegeManagemet, 10/11/2019, S. 11.