Das Nachweisverfahren: Prüfung durch qualifizierte Stellen
Kernaussage
Der KRITIS-Nachweis ist kein einmaliges Zertifikat, sondern ein wiederkehrendes Verfahren: Betreiber kritischer Anlagen müssen dem BSI in einem festen Zyklus belegen, dass sie die gesetzlichen Sicherheitsanforderungen erfüllen. Geprüft wird durch externe, dafür qualifizierte und registrierte Stellen, und aufgedeckte Sicherheitsmängel sind dem BSI mitzuteilen.
Für das Management bedeutet das: Der Nachweis ist eine Bringschuld mit Termin, nicht eine Bescheinigung, die man bei Bedarf erwirbt. Wer den Zyklus, die Auswahl der Prüfstelle und die Mängelbehebung erst kurz vor Fristende organisiert, riskiert Verzug, Nachforderungen und aufsichtsrechtliche Folgen. Das Nachweisverfahren gehört deshalb in die mehrjährige Planung des Sicherheitsprogramms, nicht in die Projektendphase.
Problem in der Praxis
In vielen Organisationen wird der Nachweis wie ein Audit-Event behandelt: einige Monate vorher wird ein Dienstleister gesucht, Dokumentation zusammengetragen und auf ein sauberes Ergebnis gehofft. Diese Logik passt nicht zum Nachweisverfahren nach dem BSI-Gesetz.
Erstens ist der Zyklus verbindlich getaktet. Der Nachweis ist nach dem BSIG (Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes) regelmäßig alle drei Jahre zu erbringen. Das ist eine bewusste Änderung gegenüber der früheren Rechtslage, die einen Zwei-Jahres-Rhythmus vorsah. Der längere Abstand entlastet zwar die Frequenz, erhöht aber das Risiko, dass sich über drei Jahre unbemerkt eine Lücke zwischen dokumentiertem und gelebtem Zustand aufbaut.
Zweitens entscheidet nicht der Betreiber allein über das Ergebnis. Die Prüfung erfolgt durch eine qualifizierte und registrierte prüfende Stelle. Deren Feststellungen, einschließlich aufgedeckter Sicherheitsmängel, gehen in den Nachweis ein und werden dem BSI gegenüber transparent.
Drittens endet das Verfahren nicht mit der Abgabe. Festgestellte Mängel müssen behoben werden, und das BSI kann auf Basis der gemeldeten Mängel nachsteuern. Wer den Nachweis als Schlusspunkt versteht, unterschätzt die Phase danach.
CISO-Einordnung
Aus CISO-Sicht beantwortet ein belastbares Nachweisverfahren vor allem diese Fragen:
- Wann genau ist der nächste Nachweis fällig, und welche interne Vorlaufzeit braucht er?
- Welche kritische Anlage genau ist im Geltungsbereich, und deckt der Prüfumfang sie vollständig ab?
- Welche prüfende Stelle ist geeignet, unabhängig und für dieses Verfahren zugelassen?
- Welche Mängel wurden festgestellt, wer ist für die Behebung verantwortlich, und bis wann?
- Welche Feststellungen sind dem BSI mitzuteilen, und wie wird das dokumentiert?
Der gesetzliche Rahmen liefert dazu klare Ankerpunkte. Die Nachweispflicht der Betreiber kritischer Anlagen ist im BSIG verankert (nach derzeitigem Stand § 39 BSIG; die frühere Entsprechung war § 8a Abs. 3 BSIG a. F.). Die zugrundeliegenden Anforderungen folgen aus dem Risikomanagement nach § 30 BSIG, der ausdrücklich den Stand der Technik verlangt, und den verschärften Pflichten der Betreiber kritischer Anlagen nach § 31 BSIG, etwa zu Systemen zur Angriffserkennung. Nachgewiesen wird die Umsetzung durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
Wichtig für die Management-Kommunikation: Ein branchenspezifischer Sicherheitsstandard (B3S) ist hierbei eine anerkannte, aber freiwillige Nachweishilfe. Das BSI stellt die Eignung eines B3S fest, erstellt ihn aber nicht selbst. Der Nachweis kann auch ohne B3S geführt werden. Ein vorhandener, festgestellter B3S strukturiert die Prüfung, ersetzt sie aber nicht.
Umsetzungsperspektive
Das Nachweisverfahren lässt sich als Regelkreis über drei Jahre planen statt als Projekt im letzten Quartal:
- Termin- und Geltungsbereichsklarheit zuerst. Das Fälligkeitsdatum und der genaue Scope der kritischen Anlage sind früh festzulegen, weil daraus Vorlauf und Budget folgen.
- Prüfstelle rechtzeitig auswählen. Sie muss für das Verfahren qualifiziert und registriert sein und ausreichend Unabhängigkeit mitbringen. Die genauen Anforderungen an Registrierung und Qualifikation der prüfenden Stellen ergeben sich aus dem Regime des BSI und den Begleitdokumenten; deren Detailregeln sind im Einzelfall am aktuellen Stand zu prüfen.
- Vorprüfung intern. Eine Selbstbewertung oder ein internes Audit ein bis zwei Quartale vorher deckt Lücken auf, solange noch Zeit zur Behebung bleibt.
- Mängelmanagement als fester Bestandteil. Aufgedeckte Sicherheitsmängel sind dem BSI mitzuteilen; parallel muss ein nachvollziehbarer Behebungsplan mit Verantwortlichen und Terminen laufen.
- Übergang zwischen den Zyklen. Nach abgegebenem Nachweis startet die Vorbereitung des nächsten Zyklus, gespeist aus Mängeln, Änderungen am Scope und neuen Bedrohungen.
Wenn ein B3S genutzt wird, ist dessen eigene Geltung zu beachten. Die Eignungsfeststellung eines B3S durch das BSI gilt nach Verwaltungspraxis nur befristet (in der Regel rund zwei Jahre, mit individuellem Gültigkeitsdatum je B3S); die genaue Bindung ist nicht im Gesetz kodifiziert und vor verbindlichen Aussagen zu prüfen. Ein abgelaufener oder nicht verlängerter B3S entbindet nicht von der Nachweispflicht; der Nachweis ist dann auf anderem Weg zu führen.
Typische Fehler
- Der Nachweis wird als Audit-Event kurz vor Frist organisiert statt über den Drei-Jahres-Zyklus geplant.
- Der alte Zwei-Jahres-Rhythmus wird unreflektiert fortgeschrieben, obwohl der Zyklus auf drei Jahre umgestellt wurde.
- Der Geltungsbereich der Prüfung deckt die kritische Anlage nicht vollständig ab, etwa bei ausgelagerten oder veränderten Teilsystemen.
- Ein vorhandenes ISO-27001-Zertifikat wird als automatischer KRITIS-Nachweis missverstanden.
- Mängelbehebung und Mitteilung an das BSI werden als lästige Nacharbeit behandelt statt als integraler Verfahrensschritt.
- Die Prüfstelle wird nach Preis statt nach Eignung, Registrierung und Unabhängigkeit ausgewählt.
Risiken und Trade-offs
Der längere Drei-Jahres-Zyklus reduziert den wiederkehrenden Prüfaufwand, vergrößert aber den Abstand, in dem unbemerkte Abweichungen entstehen können. Wer diesen Vorteil nicht durch interne Zwischenprüfungen abfedert, verlagert Risiko in die Zukunft.
Ein Zielkonflikt entsteht beim Umgang mit Mängeln. Eine sehr defensive Eigenbewertung kann viele Findings erzeugen und Aufwand binden; eine zu beschönigende Darstellung gefährdet die Belastbarkeit des Nachweises und die Glaubwürdigkeit gegenüber dem BSI. Tragfähig ist eine offene, priorisierte Mängelsicht mit realistischem Behebungsplan.
Auch die Beziehung zur Norm ISO/IEC 27001 ist abzuwägen. Ein 27001-Zertifikat kann den methodischen Unterbau liefern, deckt den KRITIS-Nachweis aber nicht automatisch ab. Der Zertifikats-Scope muss die kritische Anlage und die Anforderungen nach den §§ 30 und 31 BSIG vollständig erfassen, und häufig sind ergänzende, KRITIS-spezifische Prüfaspekte nötig.
Schließlich besteht ein Rechts- und Aktualitätsrisiko: Die Paragraphenzählung wurde mit dem BSIG 2025 umgestellt, und mehrere Detailregeln (Prüfstellen-Regime, Geltung der B3S-Eignungsfeststellung, KRITIS-Schwellenwerte) beruhen teils auf Praxis und Begleitdokumenten. Diese Punkte sind vor verbindlichen Aussagen am jeweils aktuellen Stand zu prüfen.
Entscheidungspunkte
- Wird der Nachweis mit oder ohne festgestellten B3S geführt, und welche Geltung hat ein gewählter B3S?
- Welcher Geltungsbereich beschreibt die kritische Anlage präzise genug, ohne Prüflücken zu lassen?
- Welche prüfende Stelle erfüllt Eignung, Registrierung und Unabhängigkeit für dieses Verfahren?
- Welche interne Vorlaufzeit und welche Zwischenprüfungen braucht der Drei-Jahres-Zyklus?
- Wie werden festgestellte Mängel priorisiert, behoben und gegenüber dem BSI dokumentiert?
Praktische Empfehlungen
- Hinterlegen Sie das Fälligkeitsdatum des nächsten Nachweises mehrjährig in der Planung und rechnen Sie vom Termin rückwärts.
- Prüfen Sie den auf drei Jahre umgestellten Zyklus konkret für Ihre Anlage und berücksichtigen Sie etwaige Übergangsregeln am aktuellen Rechtsstand.
- Wählen Sie die prüfende Stelle früh und nach Eignung, Registrierung und Unabhängigkeit, nicht primär nach Preis.
- Führen Sie eine interne Vorprüfung durch, solange Zeit zur Mängelbehebung bleibt.
- Behandeln Sie Mängelbehebung und Mitteilung an das BSI als festen Verfahrensschritt mit Verantwortlichen und Terminen.
- Verifizieren Sie Paragraphenstand, Prüfstellen-Regime und B3S-Geltung vor verbindlichen Aussagen an den aktuellen BSI- und Gesetzesquellen.
Relevante Normreferenzen
- BSIG (in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes): Nachweispflicht der Betreiber kritischer Anlagen (nach derzeitigem Stand § 39 BSIG; frühere Entsprechung § 8a Abs. 3 BSIG a. F.); Risikomanagement und Stand der Technik (§ 30 BSIG); besondere Pflichten der Betreiber kritischer Anlagen (§ 31 BSIG); B3S-Eignungsfeststellung (§ 30 Abs. 8 und 9 BSIG; frühere Entsprechung § 8a Abs. 2 BSIG a. F.). Paragraphenstand und Detailregeln am aktuellen Gesetzestext prüfen.
- BSI-Orientierungshilfen zu B3S und zu Nachweisen: methodische Bezugsdokumente des BSI zum Verfahren.
- ISO/IEC 27001: Referenz für den möglichen methodischen Unterbau eines B3S; deckt den KRITIS-Nachweis nicht automatisch ab (reference only).
Häufige Fragen
Wie oft muss der KRITIS-Nachweis erbracht werden?+
Nach derzeitigem Stand des BSIG regelmäßig alle drei Jahre. Das ist eine Änderung gegenüber dem früheren Zwei-Jahres-Rhythmus. Etwaige Übergangsregeln und der genaue Fälligkeitszeitpunkt sind am aktuellen Rechtsstand zu prüfen.
Wer darf den Nachweis prüfen?+
Die Prüfung erfolgt durch qualifizierte und registrierte prüfende Stellen. Die genauen Anforderungen an Registrierung und Qualifikation ergeben sich aus dem Regime des BSI und sind im Einzelfall am aktuellen Stand zu prüfen.
Was passiert mit festgestellten Sicherheitsmängeln?+
Aufgedeckte Sicherheitsmängel sind dem BSI mitzuteilen. Sie sollten über einen nachvollziehbaren Behebungsplan mit Verantwortlichen und Terminen abgearbeitet werden; das BSI kann auf Basis der Meldungen nachsteuern.
Reicht ein ISO-27001-Zertifikat als Nachweis?+
Nein, nicht automatisch. Der Zertifikats-Scope muss die kritische Anlage und die Anforderungen nach den §§ 30 und 31 BSIG vollständig erfassen; oft sind ergänzende, KRITIS-spezifische Prüfaspekte nötig.
Muss der Nachweis über einen B3S geführt werden?+
Nein. Ein B3S ist eine anerkannte, aber freiwillige Nachweishilfe. Das BSI stellt nur die Eignung fest. Der Nachweis kann auch ohne B3S geführt werden.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen B3S / KRITIS-Nachweis prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: b3s-004.
