KRITIS §8a BSIG Prüfung - Bereitstellung des Fachexperten

Mir wurde wiederholt die Frage gestellt, ob der Fachexperte für eine §8a BSIG Prüfung vom zum prüfenden Unternehmen selbst bereitgestellt werden kann. Nach einer mir heute vom BSI schriftlich erteilten Auskunft, möchte ich nun darauf eingehen.

 

Aufgrund der Anzahl der Sektoren und dahinterstehenden Branchen, kann ich den Beweggrund dieser Frage sehr gut nachvollziehen. Es ist nicht immer leicht ausreichend erfahrene Personen zu finden, die das Prüfteam entsprechend der zu prüfenden Branche als Fachexperte ergänzen können. Wenn die prüfende Stelle deshalb jedoch einen versierten Mitarbeiter des zu prüfenden Unternehmens in das Prüfteam aufnimmt, stellt sich mindestens die Frage der Unabhängigkeit und wie diese adäquat nachgewiesen werden kann. Da ich ungern im Kaffeesatz lese, hatte ich das BSI letzte Woche diesbezüglich schriftlich um eine Einschätzung gebeten. 

 

Wie erwartet wurde mir heute mitgeteilt, dass in diesem Fall die Unabhängigkeit des Fachexperten belegt werden muss. Dies kann "durch Vorlage einer schriftlichen Unabhängigkeitserklärung" erfolgen. "Dann kann dieser seine Fachkompetenz als Mitglied des Prüfteams einbringen."

 

Aus meiner Sicht ermöglicht diese Antwort es der prüfenden Stelle schneller als bis dato ein Prüfteam zusammenzustellen, sofern die geforderte Unabhängigkeit zur Zufriedenheit der prüfenden Stelle belegt werden kann. Hinsichtlich der Qualifikation würde ich, in Anlehnung an andere existierende Vorgaben für Fachexperten, die folgenden Anforderungen empfehlen:

 

Für die Prüfung des Geltungsbereichs des ISMS (Scope) und der Risikoeinschätzung gemäß branchenspezifischem Sicherheitsstandard (B3S), muss das Prüfteam einen Fachexperten hinzuziehen, wenn kein Mitglied des Prüfteams die im Folgenden genannten Anforderungen bereits erfüllt. Der Fachexperte soll das Prüfteam bei der Einschätzung, ob alle zur Aufrechterhaltung der kritischen Dienstleistung notwendigen Systeme, Komponenten, Anwendungen und Prozesse im Scope erfasst sind und die Risikoeinschätzung korrekt durchgeführt worden ist, beraten. Die Beratung während der Prüfung erfordert die Anwesenheit des Fachexperten und dessen Austausch mit dem Prüfteam beim KRITIS-Betreiber vor Ort. Dafür muss er insbesondere über fundiertes Wissen und Erfahrung in den vom B3S adressierten Themenbereichen aus einer vergleichbaren kritischen Infrastruktur verfügen und dieses objektiv belegen. Ferner muss der Fachexperte ein abgeschlossenes (Fach-)Hochschulstudium im einschlägigen Bereich und mindestens 3 Jahre Berufserfahrung in der Branche oder alternativ 8 Jahre einschlägige Berufserfahrung in der Branche nachweisen können. Die Unterstützung durch einen Fachexperten kann entfallen, sofern ein Mitglied des Prüfteams bereits mindestens fünf Mal zusammen mit einem Fachexperten im Rahmen vom KRITIS-Prüfungen gemäß dem B3S die Risikoeinschätzung und den ISMS-Scope von KRITIS-Betreibern beurteilt hat. Erfüllt ein Mitglied des Prüfteams selbst die Anforderungen an die Qualifikation des Fachexperten, so ist es dem Fachexperten gleichgestellt.


ISMS Auf- und Ausbau.

Durchführung von internen Audits.

Durchführung von Zertifizierungsaudits.

Durchführung von KRITIS-Prüfungen.