wecon.it-consulting

Das Bundesamt für Sicherheit in der Informationstechnik hat mit Newsmeldung vom  26. März 2025 eine neue Version des Dokuments "Anforderungen nach § 8a Absatz 5 BSIG: Grundsätzliche Anforderungen im Nachweisverfahren (GAiN)" veröffentlicht.

Ich fasse hier mal die wesentlichen Änderungen, die ihre Gültigkeit bereits zum 1. April 2025 erlangen, zusammen:

• Geänderte Anforderung P.IR.01, lit b: die Wirksamkeit der Internen Revision durch die Einhaltung der Global Internal Audit Standards (bzw. bis Ende 2024 Internationalen Standards für die berufliche Praxis der Internen Revision des Institute of Internal Auditors) (IIA) 
• Neue Anforderung D.PA.01: Alle Themenbereiche [siehe Tabelle in Kapitel 2 der "Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN)"] müssen im Rahmen der Nachweisprüfung abgedeckt werden. Hierbei dürfen keine Themenbereiche ausgelassen werden.
• Neue Anforderung D.PA.02: Alle Themenbereiche müssen mit einer für das jeweilige Prüfobjekt geeigneten Prüfmethode und Prüfdauer betrachtet werden.
• Neue Anforderung D.PA.03: Sofern die zu prüfende Anlage aus mehreren Standorten besteht, müssen die Standorte in der Prüfung ausreichend betrachtet werden. Hierbei müssen Stichproben nachvollziehbar gezogen werden.
• Neue Anforderung D.PA.04: Die Prüfthemen müssen betreiberseitig jeweils mit geeigneten Ansprechpersonen behandelt werden.
• Neue Anforderung D.PA.05: Relevante Risiken im Geltungsbereich dürfen nicht akzeptiert werden, sofern Sicherheitsvorkehrungen gemäß § 8a Absatz 1 BSIG Stand der Technik möglich und angemessen sind.
• Vollständig gestrichene Anforderung N.4A.01 (als Folgeänderung zur Streichung von N.BN.06): Die Prüfungssachverhalte, in denen die Prüfungen im 4- Augen-Prinzip nach D.4A.02 durch-geführt werden, werden in der Dokumentation des Prüfablaufs (ehem. Prüfplan) einzeln als solche gekennzeichnet. Die Prüfer, die an der jeweiligen Prüfung im 4-Augen-Prinzip beteiligt sind, sind namentlich mit ihrem jeweiligen prozentualen zeitlichen Prüfanteil festzuhalten.
• Geänderte Anforderung D.PE.07: Im Prüfbericht müssen alle Prüfschritte nachvollziehbar dokumentiert sein. Er muss insbesondere Informationen zu den Prüfobjekten und den jeweils genutzten Prüfmethoden beinhalten. In Inhalt und Form soll diese Dokumentation an der Dokumentation des Prüfablaufs (ehem. Prüfplan) ausgerichtet werden und muss insbesondere Informationen zu den Prüfobjekten und den jeweils genutzten Prüfmethoden beinhalten.
• Geänderte Anforderung N.BN.05: Anlage PD.A: Der vollständige Nachweis gemäß § 8a Absatz 3 BSIG muss "Anlage PD.A: Beschreibung und grafische Darstellung des Geltungsbereichs der Prüfung in einem Netz-/ Anlagenplan" beinhalten. Bei einer Erstprüfung muss der Nachweis gemäß § 8a Absatz 3 BSIG "Anlage PD.A: Beschreibung und grafische Darstellung des Geltungsbereichs der Prüfung in einem Netz-/ Anlagenplan" beinhalten. Für Folgeprüfungen gilt dies nur noch, wenn sich hinsichtlich des Geltungsbereichs oder Netz- /Anlagenplans signifikante Änderungen im Vergleich zur letzten Einreichung ergeben haben.
• Vollständig gestrichene Anforderung N.BN.06: Anlage PD.B: Der vollständige Nachweis gemäß § 8a Absatz 3 BSIG muss "Anlage PD.B: Dokumentation des Prüfablaufs (ehem. Prüfplan)" beinhalten.
• Geänderte Anforderung N.BN.08: Anlage PS.A: Der vollständige Nachweis gemäß § 8a Absatz 3 BSIG muss "Anlage PS.A: Nachweis über die zusätzliche Prüfverfahrenskompetenz für § 8a BSIG" beinhalten. Der "Nachweis über die zusätzliche Prüfverfahrenskompetenz für § 8a BSIG" oder ein gleichwertiger Kompetenznachweis muss nicht mehr als Teil des Nachweises eingereicht werden, sondern bei der prüfenden Stelle vorliegen. Soweit das BSI die Vorlage der Anlage PS.A anfordert, muss die prüfende Stelle dem BSI diese Unterlagen zur Verfügung stellen. Anlage PS.A muss hierbei für einen Prüfer des Prüfteams vorgelegt werden. Sofern dieser Prüfer kein Mitarbeiter der prüfenden Stelle ist, muss die Anlage PS.A zusätzlich für einen Mitarbeiter der prüfenden Stelle vorgelegt werden.
• Vollständig gestrichene Anforderung N.BN.10 (als Folgeänderung zur Streichung von N.BN.06):
  Dokumentation des Prüfablaufs (ehem. Prüfplan) PD.B bei Zusatzprüfung: Wurde eine Prüfung zur Erbringung des Nachweises nach § 8a Absatz 3 BSIG als Zusatzprüfung zu einer anderen Prüfung durchgeführt, sind in der Dokumentation des Prüfablaufs (ehem. Prüfplan) Prüfthemen, die durch die andere Prüfung abgedeckt wurden, unter Anbringung eines entsprechenden Hinweises aufzunehmen. Der Hinweis soll in der Angabe zur Prüfmethode vermerkt sein.

Darüber hinaus gibt es möglicherweise kleinere sprachliche Korrekturen, die ich überlesen habe *Zwinkersmiley*

Mit den obigen Änderungen in GAiN ist auch eine Vereinfachung des Prozesses bei der Nachweiseinreichung verbunden: Nachweise mit Ende der Prüfung nach dem 1. April 2025 können digital und in reduziertem Umfang über das Melde- und Informationsportal (MIP) eingereicht werden.

Und auch wenn es sich hier ja hauptsächlich um Vereinfachungen für Betreiber und prüfende Stellen handelt: Das BSI sollte die Vorlaufzeit, also die Zeit zwischen Veröffentlichung einer neuen Anforderung und deren Gültigkeitsbeginn, grundsätzlich angemessen festsetzen. Ein Vorlauf von nur einer Woche scheint mir hier doch ein wenig kurz gewählt *Zwinkersmiley*