WPg 12.2020, S. 693

Prüfung von Betreibern kritischer Infrastrukturen (§ 8a Abs. 1 BSIG) - Durchführung einer Prüfung nach IDW PS 860 unter Berücksichtigung von IDW PH 9.860.2
Von WP StB CISA CMA Dr. Jonas Tritschler und WP StB Armin Wilting

Das Bedrohungspotenzial aus dem Cyberraum – aber aktuell auch durch Pandemien wie COVID 19 – ist beträchtlich. Ein Ausfall kritischer Infrastrukturen (KRITIS) hätte dramatische Folgen für Wirtschaft, Staat und Gesellschaft. Der Schutz kritischer Infrastrukturen vor Cyberangriffen steht deshalb im nationalen Interesse. KRITIS-Betreiber haben nach § 8a Abs. 3 BSIG Nachweise über die Umsetzung angemessener organisatorischer und technischer Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind, zu führen. Der Nachweis kann – alle zwei Jahre – durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Wirtschaftsprüfer bzw. Wirtschaftsprüfungsgesellschaften können hier als prüfende Stelle tätig werden. Die Prüfung und Berichterstattung erfolgt in diesen Fällen nach den Grundsätzen von IDW PS 860 zu IT-Prüfungen außerhalb der Abschlussprüfung. IDW PH 9.860.2 gibt Hilfestellung zur Prüfung der von KRITIS-Betreibern gemäß § 8 a Abs. 1 BSIG umzusetzenden Maßnahmen für die Durchführung und Berichterstattung über eine solche Prüfung. Die Hilfestellung berücksichtigt auch den Anforderungskatalog aus der BSI-Veröffentlichung „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“.