Einleitung
Diese Frage nach der Dauer ist ausnahmsweise recht leicht zu beantworten, denn es gibt gesetzliche Anforderungen sowie vom KRITIS-Betreiber selbst gewählte Vorgaben, die den Umfang klar definieren. Doch zunächst müssen wir auf ein paar Grundlagen eingehen, die von den gesetzlichen Anforderungen und Empfehlung bis zu den selbst gewählten Vorgaben führen:
Unser Ausgangspunkt ist das BSI-Gesetz (BSIG), welches bereits 2015 vom IT-Sicherheitsgesetz (ITSiG) Anpassungen erfahren hat. Der § 8a im BSIG gibt unteranderem vor, dass Betreiber Kritischer Infrastrukturen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen müssen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Ferner können die Betreiber Kritischer Infrastrukturen und ihre Branchenverbände branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach den Absätzen 1 und 1a vorschlagen, bei denen das Bundesamt auf Antrag feststellt, ob diese geeignet sind, die Anforderungen nach den Absätzen 1 und 1a vom § 8a BSIG zu gewährleisten. Zusätzlich enthält der Paragraph Vorgaben dazu, dass die Betreiber Kritischer Infrastrukturen die Erfüllung der Anforderungen nach den Absätzen 1 und 1a spätestens zwei Jahre nach dem in Absatz 1 genannten Zeitpunkt und anschließend alle zwei Jahre dem Bundesamt nachzuweisen. Dieser Nachweis kann aus der Sicht des Gesetzgebers durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.
Die Orientierungshilfe Branchenspezifische Sicherheitsstandards (B3S) (Quelle: BSI / Linkdatum 05.01.2022) empfiehlt den Autoren, worauf bei der Erstellung eines B3S geachtet werden sollte und weißt unteranderem darauf hin, dass die Erstellung für die Betreiber bzw. für die Fachverbände eine Chance darstellt, selbst aufzuzeigen, wie ein Schutz nach „Stand der Technik" in der jeweiligen Branche realisiert werden kann. Ein B3S trägt somit dazu bei, den Interpretationsspielraum auch im Rahmen von Prüfungen zu verringern.
Die Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG (Quelle: BSI / Linkdatum: 05.01.2022) stellt wiederum Informationen bereit, was in § 8a Absatz 3 BSIG unter „auf geeignete Weise“ in Bezug auf eine Prüfung zu verstehen ist und wie die gesetzlichen Anforderungen aus § 8a Absatz 3 BSIG erfüllt werden können. Sie beschreibt die Anforderungen an die Beteiligten sowie deren Aufgaben und Zuständigkeiten und liefert Rahmenbedingungen an einen geeigneten Nachweis.
Zusammengefasst kann man sagen, dass es für die Betreiber Kritischer Infrastrukturen zum Nachweis der Compliance bezüglich § 8a BSIG empfehlenswert ist, Branchenspezifische Sicherheitsstandards gemäß den vom BSI bereitgestellten Orientierungshilfen anzuwenden, damit unteranderem der Stand der Technik definiert und der Interpretationsspielraum in Prüfungen verringert wird. Detailliert wird auf die Vorteile eines B3S in der Orientierungshilfe eingegangen:
"1. Durch die Eignungsprüfung wird die Interpretation der Autoren des B3S vom BSI auf Eignung zur Erfüllung von § 8a Absatz 1 BSIG geprüft. Die Anwender eines B3S gewinnen Sicherheit bzgl. der Interpretation der abstrakten Begriffe des BSIG wie „angemessen“, „geeignet“ und „Stand der Technik“. Diese sind unter anderem vom Schutzbedarf und der Gefährdungslage der jeweiligen Branche sowie von der in den Anlagen der Kritischen Infrastruktur verwendeten Technik abhängig.
2. Ein B3S gibt den Anwendern Hilfestellungen in der Umsetzung von § 8a Absatz 1 BSIG. Insbesondere erleichtert er den Anwendern die Identifikation geeigneter Vorkehrungen und hilft, eine geeignete Methodik zur Umsetzung zu finden. Angemessene Maßnahmen sollen durch den B3S einfacher zu finden sein.
3. Ein B3S berücksichtigt branchenspezifische Anforderungen. Insbesondere können Best Practices der jeweiligen Branche definiert werden, um bei der Umsetzung durch eine effiziente Integration in etablierte Techniken und Vorgehensweisen zugleich Wirtschaftlichkeit und Wirksamkeit zu steigern. Außerdem gibt ein B3S für die gesetzlich geforderten Nachweise der Umsetzung von § 8a Absatz 1 BSIG die Möglichkeit, die Kriterien der „Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG“ entsprechend branchenüblicher Prüfungen, Audits oder Zertifizierungen zu präzisieren und damit effizient und wirtschaftlich zu gestalten. Die „Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG“ ist auf der Website des BSI veröffentlicht: https://www.bsi.bund.de/OHNachweise.
4. Sind B3S entsprechend detailliert, können sie ggf. auch für die Erstellung einer Prüfgrundlage zur Erbringung von Nachweisen gemäß § 8a Absatz 3 BSIG herangezogen werden, da ein B3S, dessen Eignung durch das BSI offiziell festgestellt wurde, den Stand der Technik in der Branche konkretisiert. Ob und in welchem Umfang dies geschieht, liegt allerdings im Ermessen des Prüfers."
Quelle: Orientierungshilfe Branchenspezifische Sicherheitsstandards (B3S) (Quelle: BSI / Linkdatum 05.01.2022)Sobald der Betreiber sich zum Beispiel für die Anwendung eines B3S entschieden hat, wird dieser zusammen mit den enthaltenen Anforderungen zu seiner Prüfgrundlage, um die gesetzlich vorgeschriebene Compliance nach §8a BSIG nachweisen zu können. Die Umsetzung der enthaltenen Vorgaben wird somit zur selbst auferlegten Pflicht.
Konkretisierung
Gehen wir zurück zur eigentlichen Fragestellung, wie kurz eine KRITIS-Prüfung denn seien darf, nachdem wir aus der Einleitung mit den Grundlagen mitgenommen haben, dass es eine gesetzliche Nachweispflicht gibt und die Betreiber Kritischer Infrastrukturen selbst entscheiden können, wie sie diese nachweisen. Dabei sollte unser Blick in die Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG (Quelle: BSI / Linkdatum: 05.01.2022) fallen, denn hier befinden sich unteranderem Empfehlungen zur Zusammensetzung des Prüfteams bezüglich seiner Kompetenzen und Mindestanzahl:
"Damit Prüfer im Auftrag der KRITIS-Betreiber geeignete Prüfungen und damit geeignete Nachweise zur Erfüllung der gesetzlichen Anforderungen erbringen können, müssen sie über Kompetenzen in den folgenden Bereichen verfügen:
• Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG
• Auditkompetenz
• IT-Sicherheitskompetenz bzw. Informationssicherheits-Kompetenz
• Branchenkompetenz
[...]
Jedes Prüfteam sollte zur Gewährleistung der Unabhängigkeit und Objektivität aus mindestens zwei Prüfern bestehen („Vier-Augen-Prinzip“)."
Kapitel 4.2 der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG (Quelle: BSI / Linkdatum: 05.01.2022)Bestenfalls haben wir also ein Prüfteam aus 2 Personen, welches die 4 Qualifikationen (inkl. Branchenkompetenz) in sich vereint oder es wird ein 3 Mann Team mit einem zusätzlichen Brachen-/Fachexperten, wenn wir dieser Empfehlung folgen. Werfen wir nun im selben Dokument noch einen Blick auf die Stichprobenauswahl:
"Eine vollständige Prüfung des gesamten Geltungsbereichs ist in der Regel nicht mit wirtschaftlich vertretbarem Aufwand möglich, daher muss der Prüfer eine angemessene Stichprobenauswahl im Prüfplan festlegen. Diese muss mindestens alle kritischen Prozesse umfassen. Bei der Wahl der Stichproben ist risikoorientiert vorzugehen (Berücksichtigung von Wahrscheinlichkeit und Auswirkungen auf die Erbringung der kDL), allerdings ist darauf zu achten, dass in der Gesamtheit der Stichproben eine gute Abdeckung der Anlage oder der Anlagen der Kritischen Infrastruktur, aber auch eine netztopologische Abdeckung erzielt wird. Bereiche mit höheren Risiken sollen stärker berücksichtigt werden. In die Risikobetrachtung sollte insbesondere auch die Auswirkung auf die Versorgung der Bevölkerung mit der kritischen Dienstleistung entsprechend der Größe des KRITIS-Betreibers einbezogen werden (Wie viele Menschen wären von einem Ausfall betroffen? Wie gravierend wäre eine Störung/ein Ausfall?). Die Auswahl der Stichprobe ist zu begründen. Ein auf mehrere Jahre angelegtes Prüfungskonzept ist zu empfehlen, damit jedes informationstechnische System, jede informationstechnische Komponente und jeder informationstechnische Prozess in absehbarer Zeit mindestens einmal geprüft wird. Die Stichprobe ist vom Prüfer bzw. der prüfenden Stelle zu wählen. Die Verwendung der gleichen Stichprobe über mehrere Prüfungen hinweg ist nicht geeignet. Im Prüfplan sollten vorherige Prüfungen berücksichtigt werden, um mittel-/langfristig eine vollständige Abdeckung aller Komponenten/Prozesse zu erreichen. Insbesondere ist die Mängelliste aus den letzten Prüfergebnissen (Prüfberichten) bei der Stichprobenauswahl im Prüfplan zu berücksichtigen."
Kapitel 4.2 der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG (Quelle: BSI / Linkdatum: 05.01.2022)
Diese Vorgaben beziehen sich nicht auf die in der Prüfgrundlage enthaltenen Anforderungen, sondern vielmehr auf die kritischen Prozesse und Anlagen der Kritischen Infrastruktur. Mindestens alle kritischen Prozesse müssen von der Prüfung umfasst werden und bei den Anlagen der Kritischen Infrastruktur hat der Prüfer bei seiner Stichprobenwahl risikoorientiert vorzugehen, um eine gute und nachvollziehbare Abdeckung zu erzielen. Letztlich muss mittel- / langfristig eine vollständige Abdeckung aller Komponenten / Prozesse erreicht werden und hier liegt der erste Schlüssel zum Umfang. Nehmen wir einmal an, dass der KRITIS-Betreiber sich dazu entschlossen hat, einen Branchenspezifischen Sicherheitsstandard (B3S) umzusetzen, der 236 konkrete Anforderungen beinhaltet. Gehen wir ferner davon aus, dass durchschnittlich nur 10 Minuten pro Prüfpunkt in Prüfung benötigt werden:
2 - 5 min: Suchen und öffnen der Nachweise (KRITIS-Betreiber)
2 - 5 min: Sichten der Nachweise (Prüfteam)
5 - 10 min: Dialog (KRITIS-Betreiber und Prüfteam)
Unter der Annahme, dass der KRITIS-Betreiber sich gewissenhaft auf seine Prüfung vorbereitet hat und somit die Einhaltung der 10 Minuten pro Anforderung ermöglicht, ergeben sich bei 236 Prüfunkten die folgenden Zeiten :
236 Prüfpunkte * 10 Minuten = 39 Stunden (ohne Pausen, ohne Begehungen, ohne Parallelisierung, etc.)
Wir haben somit eine erste Zahl, die zumindest einen Teil der Prüfschritte aus der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG adressiert. Jedoch ist jedem bekannt, der einem Audit der Informationssicherheit bereits beigewohnt hat, dass 10 Minuten sehr sportlich bzw. oft unrealistisch sind.
Prüfschritt | Tätigkeit |
Schritt 1 | Vorbereitung der Prüfung sowie Prüfung der Eignung des Geltungsbereichs |
Schritt 2 | Erstellung des Prüfplans |
Schritt 3 | Dokumentenprüfung |
Schritt 4 | Vor-Ort-Prüfung |
Schritt 5 | Nachbereitung der Vor-Ort-Prüfung |
Schritt 6 | Erstellung des Prüfberichtes |
Umfang
Widmen wir uns nun den einzelnen Prüfschritten sowie ihrem möglichen Umfang zu und bleiben dabei der Annahme treu, dass sehr schnell gearbeitet wird.
Schritt 1
Bei der Vorbereitung der Prüfung ist es besonders wichtig, die vom Betreiber gewählte Prüfgrundlage zu sichten, etwaige zusätzlich erforderliche Qualifikationsanforderungen für das Prüfteam zu identifizieren, die Eignung des dokumentierten Geltungsbereichs festzustellen und falls erforderlich Rücksprachen zu halten:
Prüfschritt | Tätigkeit | Verantwortlich | Stunden (Personentage) |
Schritt 1a | Vorbereitung der Prüfung | Prüfteamleiter | 3h (0,375 PT) |
Schritt 1b | Feststellung der Eignung des Geltungsbereichs mit Rücksprache bei Fragen | Brachen- / Fachexperte | 3h (0,375 PT) |
Für die Beschreibung des Geltungsbereichs enthält die Orientierungshilfe glücklicherweise eine Hilfestellung für den Betreiber:
"Anforderungen an die Beschreibung und Darstellung des Geltungsbereiches (als Hilfestellung zu Abschnitt 5.2)
• G01: Die Anlage ist erkennbar und nachvollziehbar beschrieben.
• G02: Die vom Betreiber erbrachten Teile der kDL sind erkennbar und nachvollziehbar beschrieben.
• G03: Die Darstellung enthält alle wesentlichen Merkmale der Anlagenkategorie.
• G04: Alle für die kDL maßgeblichen Prozesse sind erfasst.
• G05: Alle für die kDL maßgeblichen Systeme, Komponenten und ggf. Applikationen sind erfasst.
• G06: Alle Bereiche der KRITIS gehen aus dem eingereichten Geltungsbereich hervor.
• G07: Die Grenzen des Geltungsbereiches sind klar erkennbar.
• G08: Die Schnittstellen zu außerhalb des Geltungsbereich liegenden Prozessen, Systemen, Komponenten und ggf. Applikationen sind erkennbar und nachvollziehbar beschrieben.
• G09: Die Abhängigkeiten zu außerhalb des Geltungsbereich liegenden Prozessen, Systemen, Komponenten und ggf. Applikationen sind erkennbar und nachvollziehbar beschrieben.
• G10: Durch Dritte betriebene Teile der KRITIS sind erkennbar und nachvollziehbar beschrieben.
• G11: Der Geltungsbereich ermöglicht eine Zuordnung zwischen Prozessen und zugehörigen notwendigen Systemen, Komponenten und ggf. Applikationen.
• G12: Der Geltungsbereich ist in einem Netzstrukturplan dargestellt.
• G13: Zum Verständnis notwendige schriftliche Ergänzungen zum Netzstrukturplan wurden vorgenommen.
Anforderungen an die Darstellung des Geltungsbereiches durch einen Netzstrukturplan (als Hilfestellung zu Abschnitt 5.2)
• N01: Der Netzstrukturplan bietet einen Überblick über den Geltungsbereich.
• N02: Alle maßgeblichen Systeme, Komponenten und ggf. Applikationen sind dargestellt.
• N03: Das Abstraktionsniveau ist passend gewählt worden.
• N04: Die Relevanz einzelner Elemente des Netzstrukturplans für die kDL ist ersichtlich.
• N05: Alle Kommunikationsschnittstellen nach außen sind dargestellt.
• N06: Wartungsschnittstellen sind abgebildet, sofern sie dauerhaft freigeschaltet sind.
• N07: Der Netzstrukturplan gibt eine ggf. existierende Aufteilung in Standorte wieder.
• N08: Die IT-Anbindungen verschiedener Standorte zueinander sind dargestellt.
• N09: Ausgelagerte Dienstleistungen sind dargestellt.
• N10: Funktionale Bezeichnungen und Legenden liegen nötigenfalls vor und sind verständlich."
Anhang C der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG (Quelle: BSI / Linkdatum: 05.01.2022)Schritt 2
Die Erstellung des Prüfplans nimmt zumindest beim ersten Einsatz recht viel Zeit in Anspruch, da zusammen mit dem Betreiber ein sinnvoller und abbildbarer Ablauf erarbeitet werden muss, der alle in der Prüfgrundlage enthaltenen Anforderungen, alle kritischen Prozesse sowie die als Stichproben gewählten Anlagen der Kritischen Infrastruktur umfasst:
Prüfschritt | Tätigkeit | Stunden (Personentage) |
Schritt 2 | Erstellung des Prüfplans | 6h (0,75 PT) |
Schritt 3
Die Dauer der Dokumentenprüfung hängt natürlich vom Umfang der zu sichtenden Unterlagen ab und unterscheidet sich somit von Prüfung zu Prüfung. Jedoch gibt es in der Orientierungshilfe ein Vorschlag zum Minimum der zu sichtenden Unterlagen:
"Für die Dokumentenprüfung sollten KRITIS-Betreiber dem Prüfer z. B. folgende Dokumente bereitstellen:
• Sicherheitskonzept (inkl. Darstellung umgesetzter und geplanter Maßnahmen, insbesondere der branchenspezifischen Maßnahmen und der aus der kDL abgeleiteten KRITIS-Schutzziele)
• Beschreibung des Informationssicherheitsmanagementsystems (ISMS)
• Notfallkonzept und Beschreibung des Continuity Managements
• Dokumente des Asset Managements
• Dokumentation der Prozesse zur baulichen und physischen Sicherheit (z. B. Zutrittskontrolle oder Brandschutzmaßnahmen)
• Dokumentation der personellen und organisatorischen Sicherheit (z. B. Aufzeichnungen über Mitarbeiterschulungen, Sensibilisierungskampagnen, Berechtigungsmanagement)
• Konzepte und Dokumentation zur Vorfallserkennung und -bearbeitung (z. B. Beschreibung zu Incident Management, Detektion von Angriffen, Forensik)
• Konzepte und Dokumentation von Überprüfungen (z. B. Prüfberichte der internen Revision sowie anderer durchgeführter Audits, Übungen, systematische Log-Auswertungen usw.)
• Richtlinien zur externen Informationsversorgung (Einholen von Informationen über Themen, die für die IT-Sicherheit relevant sind)
• Richtlinien zum Umgang mit Lieferanten und Dienstleistern (z. B. Service Level Agreements und andere die Sicherheit betreffende Vereinbarungen mit Dienstleistern) Die prüfende Stelle kann auch weitere Dokumente als Grundlage der Prüfung heranziehen."
Kapitel 4.2 der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG (Quelle: BSI / Linkdatum: 05.01.2022)Prüfschritt | Tätigkeit | Stunden (Personentage) |
Schritt 3 | Dokumentenprüfung | 8h (1 PT) |
Schritt 4
Für die Vor-Ort-Prüfung haben wir oben bereits einen Schätzwert berechnet, wenn die vom Betreiber gewählte Prüfgrundlage 236 Prüfpunkte enthält. Nun muss mindestens noch auf das 4-Augen-Prinzip und die Begehung der Standorte eingegangen werden. Nehmen wir an, dass der Betreiber nur einen Standort besitzt und dort die kritische Dienstleistung vollständig erbracht wird. Ferner gehen wir davon aus, dass das Prüfteam aus 2 Personen besteht, welches die 4 Qualifikationen (inkl. Branchenkompetenz) in sich vereint und wir berücksichtigen, dass der Betreiber die Aufteilung des Prüfteams für verschiedene Prüfthemen (Parallelisierung) aus personellen Gründen nur eingeschränkt gewährleisten kann. Folglich müssen wir den zuvor berechneten Stunden einige Hinzufügen:
Prüfschritt | Tätigkeit | Stunden (Personentage) |
Schritt 4 | Interviews & Begehungen | 64h (8 PT) |
Schritt 5
Die Nachbereitung der Vor-Ort-Prüfung besteht hauptsächlich aus der Konsolidierung der Prüfnotizen aus dem Prüfteam. Wir gehen davon aus, dass diese Aufgabe aufgrund der guten Vorarbeit der Teammitglieder recht schnell erledigt werden kann:
Prüfschritt | Tätigkeit | Stunden (Personentage) |
Schritt 5 | Nachbereitung der Vor-Ort-Prüfung | 4h (0,5 PT) |
Schritt 6
Im letzten Schritt erstellen wir den Prüfbericht und das Nachweisdokument P sowie dessen Anlagen und fügen auch noch die vom Betreiber bereitzustellenden Unterlagen hinzu:
Prüfschritt | Tätigkeit | Stunden (Personentage) |
Schritt 6 | Erstellung des Prüfberichtes und Nachweisdokumente | 12h (1,5 PT) |
Zusammenfassung
Wenn wir nun die Schätzungen für unsere Beispielprüfung zusammenfassen, ergibt sich daraus die folgende Übersicht:
Prüfschritt | Tätigkeit | Dauer (Personentage) |
Schritt 1 | Vorbereitung der Prüfung sowie Prüfung der Eignung des Geltungsbereichs | 6h (0,75 PT) |
Schritt 2 | Erstellung des Prüfplans | 6h (0,75 PT) |
Schritt 3 | Dokumentenprüfung | 8h (1 PT) |
Schritt 4 | Vor-Ort-Prüfung | 64h (8 PT) |
Schritt 5 | Nachbereitung der Vor-Ort-Prüfung | 4h (0,5 PT) |
Schritt 6 | Erstellung des Prüfberichtes | 12h (1,5 PT) |
Summe | | 100h (12,5 PT) |
Sicherlich kann man bei dem einen oder anderen Schritt schneller, aber auch langsamer sein und natürlich könnte man die Orientierungshilfen einfach ignorieren, da sie keine verbindlichen Vorgaben darstellen. Wer aber sich weit von den Orientierungshilfen entfernt, muss damit rechnen, dass es Rückfragen aus Bonn gibt und gleiches dürfte gelten, wenn man eine KRITIS-Prüfung mit 236 Prüfpunkten an nur 2 Vor-Ort-Tagen absolviert und nicht ohne Grund folgt nun der Abschnitt mit den Bußgeldvorschriften.
Bußgeldvorschriften
Kommen wir abschließend noch zu den gesetzlichen Vorgaben, in denen etwas über nicht richtige bzw. nicht vollständige Nachweise und mögliche Konsequenzen steht:
„(1) Ordnungswidrig handelt, wer entgegen § 8a Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 einen Nachweis nicht richtig oder nicht vollständig erbringt. […] (5) Die Ordnungswidrigkeit kann in den Fällen […] der Absätze 1, 2 Nummer 2 und 3 mit einer Geldbuße bis zu einer Million Euro geahndet werden.“ § 14 ITSiG (Text in der Fassung des Artikels 1 Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme G. v. 18. Mai 2021 BGBl. I S. 1122, 4304 m.W.v. 28. Mai 2021)
Schlussfolgerung
Kann man einen vollständigen Nachweis erbringen, wenn man für die Prüfung Anforderungen aus der Prüfgrundlage ersatzlos streicht bzw. übergeht oder nicht alle kritischen Prozesse und risikobehafteten Anlagen der Kritischen Infrastruktur in der Prüfung berücksichtigt?
Kann man einen korrekten Nachweis erbringen, wenn die Prüfzeit, selbst unter optimalen Bedingungen, schon rein rechnerisch nicht ausreicht?
Falls Sie nach dem Lesen dieses Artikels eine der beiden Fragen mit "nein" beantworten sollten, dann könnte es empfehlenswert sein keine sportlichen, sondern realistische Zeiten pro Prüfpunkt vorzusehen und die Durchführung der Prüfung sowie die Wahl der Stichproben gemäß Orientierungshilfe vorzunehmen. Denn letztlich geht es bei KRITIS-Prüfungen nicht um die Erlangung eines Zertifikats zur Gewinnung oder Bindung von Kunden, sondern um die Versorgungssicherheit der Bevölkerung mit einer oder sogar mehreren kritischen Dienstleistungen und abhängig vom Sektor, können damit mittel- bzw. unmittelbar Menschenleben verknüpft sein!
