KRITIS verlangtalle zwei Jahreden Stand der Technik.

KRITIS umfasst Betreiber kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung, IT und Telekommunikation, Finanz- und Versicherungswesen, Transport und Verkehr, Gesundheit, kommunale Entsorgung sowie Staat und Verwaltung. Die BSI-Kritisverordnung legt die Schwellenwerte fest, ab denen die §8a-Pflichten greifen. NIS-2 erweitert das regulatorische Bild, der §8a-Nachweis bleibt jedoch das etablierte Verfahren, über das das BSI den Stand der Technik prüft – und gibt in vielen Sektoren weiterhin den Audit-Takt vor.

1. BLOCK · 01

   Stand der Technik alle zwei Jahre

   §8a Abs. 3 BSIG verlangt von Betreibern, mindestens alle zwei Jahre nachzuweisen, dass organisatorische und technische Vorkehrungen dem Stand der Technik entsprechen. Der §8a-Nachweis ist das formale Artefakt, das über eine prüfende Stelle beim BSI eingereicht wird.

2. BLOCK · 02

   Angriffserkennung (§8a Abs. 1a BSIG)

   Seit dem IT-Sicherheitsgesetz 2.0 müssen Betreiber Systeme zur Angriffserkennung betreiben. Wir prüfen die Detection Coverage gegen realistische Angriffspfade und dokumentieren, wo Signale fehlen oder unzuverlässig sind.

3. BLOCK · 03

   B3S-Sektorstandards

   Wo Branchenspezifische Sicherheitsstandards vorliegen, geben sie die Kontrollen vor. Wir mappen den Testumfang auf den relevanten B3S, damit der §8a-Nachweis direkt darauf verweisen kann.

4. BLOCK · 04

   Meldepflicht nach §8b BSIG

   Erhebliche IT-Störungen sind dem BSI zu melden. Wir unterstützen die technische Analyse, die für eine korrekte und fristgerechte Meldung erforderlich ist – und bereiten die forensische Datenbasis dafür vor.

Der §8a-Nachweis steht und fällt mit der Qualität der zugrundeliegenden Evidenz. Wir prüfen die relevanten Angriffspfade gegen OT- und IT-Systeme, mappen Befunde auf B3S oder sektorspezifische Kontrollkataloge und liefern Nachtestergebnisse, die den Kreis schließen. Das Ergebnis fließt direkt in den Berichtsteil ein, den die prüfende Stelle beim BSI einreicht.