Anlagensicherheit

Wolfgang Schöttle

KRITIS / § 8a BSIG

Prüfverfahrens-Kompetenz für § 8a BSIG (KRITIS-Cybersicherheit)

Einleitung

Betreiber Kritischer Infrastrukturen (KRITIS) müssen nach § 8a BSIG regelmäßig nachweisen, dass sie angemessene organisatorische und technische Maßnahmen zur Cybersicherheit nach Stand der Technik umgesetzt haben.

Als erfahrener Sachverständiger für Anlagensicherheit mit geprüfter Prüfverfahrens-Kompetenz für § 8a BSIG unterstütze ich insbesondere Betreiber von Kläranlagen, Industrieanlagen und verfahrenstechnischen Anlagen bei der Vorbereitung und Durchführung von Prüfungen sowie bei der Nachweisführung gegenüber dem BSI.

Termin anfordern

Rückruf anfordern

Meine Qualifikation im Bereich KRITIS / § 8a BSIG

Zertifikat „Prüfverfahrens-Kompetenz für § 8a BSIG“

– ICO – International Certification Organisation GmbH

– Zertifikatsdatum: 16.05.2026

– Certificate Key: oRyno0d9xt (Verifikation unter https://ico-cert.org/verify)
Über 20 Jahre Erfahrung mit

– Kläranlagen und verfahrenstechnischen Anlagen

– davon ca. 10 Jahre als Planer und 10 Jahre als Prüfer
Sachverständiger für Anlagensicherheit

– Sachverständiger für Explosionsschutz (ZÜS über GTÜ)

– VdS-Sachverständiger für elektrische Anlagen

– Risikobeurteilungen und Unterstützung bei CE-/Maschinenrichtlinie

Diese Kombination aus Technikpraxis, ZÜS-Erfahrung und Prüfverfahrenskompetenz ermöglicht eine praxisnahe Bewertung von Cybersicherheit in Anlagen mit hohen Sicherheitsanforderungen.

Leistungen für KRITIS-Betreiber nach § 8a BSIG

Ich biete insbesondere folgende Leistungen an:

1. Vorbereitung auf § 8a‑Nachweise

Analyse des bestehenden Sicherheitsniveaus (organisatorisch und technisch, IT/OT)
Durchsicht von Richtlinien, Risikoanalysen, Sicherheitskonzepten und vorhandenen Nachweisen
Identifikation von Lücken im Hinblick auf § 8a BSIG / BSI‑KritisV und branchenspezifische Sicherheitsstandards (B3S)

2. Prüfungen & Audits (Phasenmodell nach BSI)

Die Prüfungen orientieren sich am BSI-Schulungskonzept und Phasenmodell:

Grundlagenprüfung (Phase 1)

– Prüfung des Geltungsbereichs (Scope, kritische Dienstleistungen, Anlagenabgrenzung)

– Validierung der Prüfgrundlage (z.B. B3S, andere Normen, interne Standards)

– Erste Bewertung des KRITIS‑Risikomanagements
Angemessenheitsprüfung (Phase 2)

– Bewertung, ob die geplanten/umgesetzten Maßnahmen geeignet sind, die identifizierten Risiken und Anforderungen aus § 8a BSIG / B3S abzudecken

– Dokumenten- und Datenanalyse, Interviews
Wirksamkeitsprüfung (Phase 3)

– Stichprobenhafte Überprüfung der tatsächlichen Umsetzung und Wirksamkeit der Maßnahmen vor Ort

– Inaugenscheinnahme, Interviews, Plausibilitätsprüfungen

3. Berichte und Nachweisunterlagen

Erstellung strukturierter Prüfberichte, die als Grundlage für §‑8a‑Nachweise genutzt werden können
Dokumentation von Feststellungen, Bewertungen und Abweichungen
Formulierung praxisnaher Maßnahmenempfehlungen

Branchenfokus: Kläranlagen, verfahrenstechnische Anlagen, Industrie

Durch meine langjährige Tätigkeit in Kläranlagen und verfahrenstechnischen Anlagen liegt ein Schwerpunkt meiner Arbeit auf:

Wasser- und Abwasseranlagen (Klärwerke)

Explosionsgefährdeten Anlagen
Elektrischen Anlagen und Steuerungstechnik (OT/Leittechnik)

Ich kenne die betrieblichen Abläufe, die sicherheitsrelevanten MSR‑Einrichtungen und die realen Randbedingungen in Anlagen – ein wichtiger Vorteil gegenüber rein theoretischen Prüfungen.

Gerade im KRITIS‑Kontext (z.B. Wasser/Abwasser) geht es darum, Cybersicherheit und Anlagensicherheit zusammenzudenken – von der Gefährdungsbeurteilung über die Risikoanalyse bis zur Bewertung von Netzarchitektur, Fernzugängen, Notfall- und Wiederanlaufkonzepten.

Unabhängigkeit und Vorgehensweise als prüfende Stelle

Als Einzelunternehmen arbeite ich nach klar definierten Grundsätzen:

Unabhängigkeit

– Keine Übernahme von Prüfaufträgen, wenn wesentliche Beratungs- oder Implementierungsleistungen zum gleichen Prüfgegenstand in engem zeitlichen Zusammenhang erbracht wurden

– Offenlegung möglicher Interessenkonflikte vor Auftragsannahme
Strukturiertes Prüfverfahren

– Prüfplanung mit Geltungsbereich, Prüfgrundlage und Prüfplan

– Nutzung etablierter Prüfmethoden (Interviews, Dokumenten- und Datenanalyse, Inaugenscheinnahme, technische Prüfungen im Rahmen des Auftrags)

– Nachvollziehbare und dokumentierte Bewertungen

Für wen sind diese Leistungen interessant?

Betreiber von Kläranlagen und Abwasserinfrastruktur mit KRITIS-Bezug
Betreiber verfahrenstechnischer Anlagen mit explosionsgefährdeten Bereichen und sicherheitsrelevanten MSR Einrichtungen
Industrie- und Gewerbebetriebe, die sich auf künftige NIS2-/BSIG-Anforderungen vorbereiten wollen
Prüforganisationen oder größere prüfende Stellen, die spezifische Fachkompetenz für OT/Anlagen/Explosionsschutz in § 8a Prüfungen einbinden möchten

Anlagensicherheit

Wolfgang Schöttle

KRITIS / § 8a BSIG

Prüfverfahrens-Kompetenz für § 8a BSIG (KRITIS-Cybersicherheit)

Einleitung

Betreiber Kritischer Infrastrukturen (KRITIS) müssen nach § 8a BSIG regelmäßig nachweisen, dass sie angemessene organisatorische und technische Maßnahmen zur Cybersicherheit nach Stand der Technik umgesetzt haben.

Meine Qualifikation im Bereich KRITIS / § 8a BSIG

Zertifikat „Prüfverfahrens-Kompetenz für § 8a BSIG“

– ICO – International Certification Organisation GmbH

– Zertifikatsdatum: 16.05.2026

– Certificate Key: oRyno0d9xt (Verifikation unter https://ico-cert.org/verify)

Über 20 Jahre Erfahrung mit

– Kläranlagen und verfahrenstechnischen Anlagen

– davon ca. 10 Jahre als Planer und 10 Jahre als Prüfer

Sachverständiger für Anlagensicherheit

– Sachverständiger für Explosionsschutz (ZÜS über GTÜ)

– VdS-Sachverständiger für elektrische Anlagen

– Risikobeurteilungen und Unterstützung bei CE-/Maschinenrichtlinie

Diese Kombination aus Technikpraxis, ZÜS-Erfahrung und Prüfverfahrenskompetenz ermöglicht eine praxisnahe Bewertung von Cybersicherheit in Anlagen mit hohen Sicherheitsanforderungen.

Leistungen für KRITIS-Betreiber nach § 8a BSIG

Ich biete insbesondere folgende Leistungen an:

1. Vorbereitung auf § 8a‑Nachweise

Analyse des bestehenden Sicherheitsniveaus (organisatorisch und technisch, IT/OT)

Durchsicht von Richtlinien, Risikoanalysen, Sicherheitskonzepten und vorhandenen Nachweisen

Identifikation von Lücken im Hinblick auf § 8a BSIG / BSI‑KritisV und branchenspezifische Sicherheitsstandards (B3S)

2. Prüfungen & Audits (Phasenmodell nach BSI)

Die Prüfungen orientieren sich am BSI-Schulungskonzept und Phasenmodell:

Grundlagenprüfung (Phase 1)

– Prüfung des Geltungsbereichs (Scope, kritische Dienstleistungen, Anlagenabgrenzung)

– Validierung der Prüfgrundlage (z.B. B3S, andere Normen, interne Standards)

– Erste Bewertung des KRITIS‑Risikomanagements

Angemessenheitsprüfung (Phase 2)

– Bewertung, ob die geplanten/umgesetzten Maßnahmen geeignet sind, die identifizierten Risiken und Anforderungen aus § 8a BSIG / B3S abzudecken

– Dokumenten- und Datenanalyse, Interviews

Wirksamkeitsprüfung (Phase 3)

– Stichprobenhafte Überprüfung der tatsächlichen Umsetzung und Wirksamkeit der Maßnahmen vor Ort

– Inaugenscheinnahme, Interviews, Plausibilitätsprüfungen

3. Berichte und Nachweisunterlagen

Erstellung strukturierter Prüfberichte, die als Grundlage für §‑8a‑Nachweise genutzt werden können

Dokumentation von Feststellungen, Bewertungen und Abweichungen

Formulierung praxisnaher Maßnahmenempfehlungen

Branchenfokus: Kläranlagen, verfahrenstechnische Anlagen, Industrie

Durch meine langjährige Tätigkeit in Kläranlagen und verfahrenstechnischen Anlagen liegt ein Schwerpunkt meiner Arbeit auf:

Wasser- und Abwasseranlagen (Klärwerke) Explosionsgefährdeten Anlagen Elektrischen Anlagen und Steuerungstechnik (OT/Leittechnik)

Ich kenne die betrieblichen Abläufe, die sicherheitsrelevanten MSR‑Einrichtungen und die realen Randbedingungen in Anlagen – ein wichtiger Vorteil gegenüber rein theoretischen Prüfungen.

Gerade im KRITIS‑Kontext (z.B. Wasser/Abwasser) geht es darum, Cybersicherheit und Anlagensicherheit zusammenzudenken – von der Gefährdungsbeurteilung über die Risikoanalyse bis zur Bewertung von Netzarchitektur, Fernzugängen, Notfall- und Wiederanlaufkonzepten.

Unabhängigkeit und Vorgehensweise als prüfende Stelle

Als Einzelunternehmen arbeite ich nach klar definierten Grundsätzen:

Unabhängigkeit

– Keine Übernahme von Prüfaufträgen, wenn wesentliche Beratungs- oder Implementierungsleistungen zum gleichen Prüfgegenstand in engem zeitlichen Zusammenhang erbracht wurden

– Offenlegung möglicher Interessenkonflikte vor Auftragsannahme

Strukturiertes Prüfverfahren

– Prüfplanung mit Geltungsbereich, Prüfgrundlage und Prüfplan

– Nutzung etablierter Prüfmethoden (Interviews, Dokumenten- und Datenanalyse, Inaugenscheinnahme, technische Prüfungen im Rahmen des Auftrags)

– Nachvollziehbare und dokumentierte Bewertungen

Für wen sind diese Leistungen interessant?

Betreiber von Kläranlagen und Abwasserinfrastruktur mit KRITIS-Bezug

Betreiber verfahrenstechnischer Anlagen mit explosionsgefährdeten Bereichen und sicherheitsrelevanten MSR Einrichtungen

Industrie- und Gewerbebetriebe, die sich auf künftige NIS2-/BSIG-Anforderungen vorbereiten wollen

Prüforganisationen oder größere prüfende Stellen, die spezifische Fachkompetenz für OT/Anlagen/Explosionsschutz in § 8a Prüfungen einbinden möchten

Wasser- und Abwasseranlagen (Klärwerke)

Explosionsgefährdeten Anlagen
Elektrischen Anlagen und Steuerungstechnik (OT/Leittechnik)