KRITIS-Betreiber müssen dem BSI die Umsetzung angemessener Cyber­security Maßnahmen in ihren KRITIS-Anlagen alle zwei, bald alle drei Jahre durch KRITIS-Prüfungen nachweisen . In den Prüfungen finden die Prüfer (wahrscheinlich) Mängel, die als Teil der Nachweise ans BSI berichtet und danach von Betreibern behoben werden müssen. Im Abschluss der Prüfung kommt es dabei häufig zu Nachfragen und Nachforderungen durch das BSI, die vermieden werden können. Das BSI nennt selbst verschiedene Punkte: Die verbindlichen GAiN-Anforderungen müssen berücksichtigt werden. Nachweise müssen die Prüfung von Systemen zur Angriffserkennung enthalten. Alle Nachweisunterlagen müssen pünktlich eingereicht werden und vollständig sein: Formular KI und P, Anlagen PD.A, PD.B, PE.A, PS.A, PD.C und ggf. optionale Nachweisdokumente müssen in Deutsch eingereicht werden; Bericht kann Englisch sein. Die Unabhängigkeit der Prüfer wird durch die prüfenden Stellen geprüft. Einreichung per Melde- und Informationsportal (MIP) oder Mail (S/MIME). Zur erfolgreichen Einreichung veranstaltet das BSI auch eine Videokonferenz am 5. März 2024 unter dem Titel Nachweise gemäß § 8a Abs. 3 BSIG We have a dream ... (mit Anmeldung).