Die Steinzeit hat ein Ende: Nachweiserbringung für KRITIS jetzt digital möglich

Betreiber Kritischer Infrastrukturen müssen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mindestens alle zwei Jahre nachweisen, dass IT-Systeme, Komponenten und Prozesse, die für den Betrieb elementar sind, nach dem Stand der Technik abgesichert sind. Bisher mussten hierfür physische Dokumente eingereicht werden. Doch das soll jetzt ein Ende haben und künftig digital gehen.

Im Rahmen der Umsetzung des Onlinezugangsgesetzes (OZG) hat das BSI jetzt die Nachweiserbringung digitalisiert. Somit könnten Nachweise zu rund 2.000 Kritischen Infrastrukturen durch die KRITIS-Betreiber über das Verwaltungsportal Bund (Website) beim BSI eingereicht werden.

Mit dem Go-Live des Projekts soll die Nachweiserbringung für die Betreiber einfacher und bequemer werden. Um die Leistung in Anspruch zu nehmen, müssten sich KRITIS-Betreiber mit dem bundesweit einheitlichen ELSTER-Unternehmenskonto authentifizieren und könnten dann sensible Daten sicher an das BSI übermitteln. Verschlüsselte Datenübertragung und automatisierte Versandbestätigung würden den Prozess weiter vereinfachen.

OZG-Verpflichtung Nummer zwei erfüllt

Die digitale Nachweiserbringung sei die zweite Verwaltungsleistung, die das BSI im Rahmen des OZG in Zusammenarbeit mit dem Bundesministerium des Innern und für Heimat (BMI) digitalisiert. Damit komme das BSI seiner Pflicht zur Umsetzung des OZG nach, die vorsehe, dass in einem ersten Digitalisierungsschritt insgesamt 575 Verwaltungsleistungen auf Bundes-, Länder- und kommunaler Ebene digitalisiert und in einer IT-Infrastruktur jeder Nutzerin und jedem Nutzer einfach mit wenigen Klicks zugänglich gemacht werden.

Da Kritische Infrastrukturen elementar für das staatliche Gemeinwesen sind, könnten bei deren Ausfall oder Beeinträchtigung Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten. Daher sei der regelmäßige Nachweis über die Einhaltung des Standes der Technik gesetzlich vorgeschrieben.
Um ihre Informationstechnik vor Ausfall und Angriffen von außen zu schützen, müssten Betreiber Kritischer Infrastrukturen organisatorische und technische Maßnahmen und Vorkehrungen treffen. Diese könnten durch Sicherheitsaudits, Prüfungen oder Zertifizierungen dokumentiert werden.

Die Betreiber übermitteln dem BSI mithilfe von Nachweisdokumenten die Ergebnisse der durchgeführten Prüfungen einschließlich möglicher aufgedeckter Sicherheitsmängel. Das BSI prüfe anschließend, ob ihre Vorkehrungen und Maßnahmen die gesetzlichen Anforderungen erfüllen. Das BSI könne die Nachreichung von weiteren Prüfungsunterlagen und bei Sicherheitsmängeln die Beseitigung der Sicherheitsmängel verlangen.ft