KRITIS Identifikation – Gehört meine Organisation zu KRITIS dazu?
Unternehmen sind selbst verpflichtet, zu prüfen, ob sie kritische Infrastrukturen betreiben. Dies umfasst insbesondere die Identifikation relevanter Anlagen sowie die Bewertung, ob diese für die Erbringung sogenannter „kritischer Dienstleistungen“ notwendig sind. Grundlage hierfür ist die BSI-Kritisverordnung, die auf § 10 Absatz 1 des BSI-Gesetzes beruht.
Sie definiert, welche Anlagen, Versorgungsgrade und Schwellenwerte für die Einstufung als KRITIS-relevant maßgeblich sind, einschließlich ortsfester und mobiler Einrichtungen, IT-Dienste sowie betriebstechnisch verbundener Anlagen. Erreicht eine Anlage den gesetzlich definierten Schwellenwert für den Versorgungsgrad, gilt sie als bedeutend im Sinne des BSI-Gesetzes und der Betreiber wird zur Einhaltung spezifischer Sicherheitsanforderungen verpflichtet.
Sektoren der KRITIS Verordnung
Die KRITIS-Verordnung unterteilt hierbei in 8 verschiedene Sektoren, die mit zugehörigen Schwellenwerten versehen sind.
- § 2 Sektor Energie
- § 3 Sektor Wasser
- § 4 Sektor Ernährung
- § 5 Sektor Informationstechnik und Telekommunikation
- § 6 Sektor Gesundheit
- § 7 Sektor Finanz- und Versicherungswesen
- § 8 Sektor Transport und Verkehr
- § 9 Sektor Siedlungsabfallentsorgung
Was auf eine Organisation zukommt, wenn sie zur kritischen Infrastruktur gehört
Sobald ein Unternehmen gemäß der KRITIS-Verordnung als Betreiber einer kritischen Infrastruktur eingestuft wird, greifen die Anforderungen des BSI-Gesetzes (BSIG), insbesondere § 8a und § 10. Damit ist die Organisation gesetzlich verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz ihrer informationstechnischen Systeme umzusetzen. Ziel ist es, die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der IT-Systeme sicherzustellen, die für das Funktionieren der kritischen Dienstleistung notwendig sind.
Diese Maßnahmen müssen sich am Stand der Technik orientieren. Welche konkreten Lösungen gewählt werden, ist nicht im Gesetz vorgeschrieben. Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 oder auf Basis des BSI IT-Grundschutzes gilt jedoch in der Praxis als bewährter Rahmen, um die Anforderungen rechtskonform und überprüfbar umzusetzen.
Hinzu kommt: Seit dem 1. Mai 2023 müssen Betreiber auch Systeme zur Angriffserkennung implementieren, die Bedrohungen automatisiert erkennen und melden können. Die Einhaltung aller Vorgaben muss dem BSI alle zwei Jahre über Audits, Prüfungen oder Zertifizierungen nachgewiesen werden. Das BSI ist zudem berechtigt, stichprobenartige Überprüfungen vor Ort durchzuführen.
Die KRITIS-Zuordnung bedeutet also mehr als eine formale Einstufung, sie verpflichtet zur aktiven und dokumentierten Informationssicherheit auf höchstem Niveau.
Wie finde ich heraus, ob meine Organisation zur KRITIS gehört?
Die Einstufung erfolgt anhand der BSI-Kritisverordnung, die sogenannte Schwellenwerte und kritische Dienstleistungen in acht Sektoren definiert. Unternehmen müssen selbst prüfen, ob ihre Anlagen diese Schwellen überschreiten – etwa anhand von Größe, Leistung oder Relevanz für die öffentliche Versorgung.
Welche Sektoren gelten als kritisch im Sinne der KRITIS-Verordnung?
Die KRITIS-Verordnung unterscheidet acht Sektoren:
Energie, Wasser, Ernährung, IT & Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport & Verkehr sowie Siedlungsabfallentsorgung.
Jeder Sektor hat spezifische Kriterien, wann eine Anlage als „kritisch“ gilt.
Was muss ein KRITIS-Betreiber rechtlich umsetzen?
Sobald ein Unternehmen als KRITIS-Betreiber gilt, ist es nach § 8a BSIG verpflichtet, angemessene organisatorische und technische IT-Sicherheitsmaßnahmen umzusetzen.
Ziel ist der Schutz der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der IT-Systeme. Die Maßnahmen müssen dem Stand der Technik entsprechen.
Muss ein ISMS nach ISO 27001 oder BSI IT-Grundschutz eingeführt werden?
Das BSI-Gesetz schreibt kein konkretes System vor. In der Praxis ist ein ISMS nach ISO 27001 oder BSI IT-Grundschutz jedoch der bewährte Weg, um die Anforderungen nachvollziehbar, strukturiert und auditierbar zu erfüllen – insbesondere im Hinblick auf die Nachweispflicht gegenüber dem BSI.
Welche konkreten Pflichten bestehen nach der Einstufung?
Implementierung von Sicherheitsmaßnahmen nach Stand der Technik
Einsatz eines Systems zur Angriffserkennung (seit 1. Mai 2023)
Regelmäßige Nachweise gegenüber dem BSI (mind. alle zwei Jahre)
Meldepflicht bei IT-Störungen
Mögliche Vor-Ort-Kontrollen durch das BSI