Der Ablauf einer Prüfung gemäß §8a BSI-Gesetz ist genau festgelegt und folgt einem speziellen Schema, das wir nach einer Anfrage zur Verfügung stellen. Die wichtigsten Informationen hierzu sind:
- Der Betreiber der kritischen Infrastruktur richtet eine Anfrage an uns, um den genauen Prüfungsumfang und -ablauf zu klären. Dabei werden die Anzahl an Prüftagen, der Prüfumfang und der Prüftermin festgelegt.
- Für die Festlegung des Prüfumfangs übermittelt uns der Betreiber die Anzahl der Fachabteilungen, die letzte Fallzahl des Vorjahres (maßgeblich für KRITIS-Einstufung) und Informationen zu Forschungs- und Lehraufträgen.
- Wir stimmen gemeinsam mit dem Betreiber mögliche Prüftermine ab.
- Wir unterbreiten ein Angebot für die Erstprüfung gemäß §8a BSI-Gesetz und eine Folgeprüfung im Folgejahr des Meldung an das BSI. Mit dem Angebot übermitteln wir die Informationen über das von uns vorgesehene Prüfteam.
Sofern der Betreiber den Auftrag erteilt, ist der Ablauf wie folgt (Ausnahme vom Zeitablauf sind möglich):
- Der Betreiber übermittelt uns die Risikoeinschätzung der Systeme für die kritische Dienstleistung zur Erstellung des Prüfplans.
- Etwa 21-Tage vor Prüfdurchführung fordert das Prüfteam die Dokumente an, die im Rahmen einer Dokumentenprüfung stichprobenartig geprüft werden. Gleichzeitig wird der Prüfplan für die Prüfschwerpunkte der kritischen Dienstleistungssysteme übermittelt.
- 14-Tage vor Durchführung der Vor-Ort-Prüfung erfolgt die Dokumentenprüfung.
- Die Prüfschwerpunkte werden im Rahmen der Vor-Ort-Prüfung beim Betreiber geprüft, Feststellungen werden direkt mit dem Betreiber besprochen.
- Etwa 21 Tage nach der Vor-Ort Prüfung werden der Prüfbericht sowie die Formulare des BSI an den Betreiber zwecks Weiterleitung übermittelt.