Was gehört zur kritischen Infrastruktur?

Was ist KRITIS?

KRITIS (Kritische Infrastrukturen) bezeichnen Einrichtungen und Organisationen, die für das Funktionieren des Gemeinwesens essenziell sind. Ein Ausfall oder eine Störung dieser Strukturen kann schwerwiegende Folgen haben. Etwa langanhaltende Versorgungsprobleme, erhebliche Beeinträchtigungen der öffentlichen Ordnung oder andere weitreichende Auswirkungen.

Wann gilt etwas als kritische Infrastruktur?

Nicht jede Einrichtung mit öffentlichem Nutzen fällt automatisch unter den Begriff der kritischen Infrastruktur. Um als KRITIS eingestuft zu werden, müssen bestimmte Kriterien erfüllt sein. Entscheidend ist dabei vor allem die systemische Bedeutung für das Gemeinwesen. Eine Organisation oder ein Unternehmen gilt dann als KRITIS, wenn sein Ausfall zu erheblichen Versorgungsengpässen, massiven Störungen der öffentlichen Sicherheit oder anderen gravierenden Auswirkungen führen würde.

Ein zentrales Kriterium ist die sogenannte Schwellenwertregelung. Diese legt fest, ab welcher Größenordnung oder Leistungsfähigkeit eine Einrichtung als KRITIS gilt. Die konkreten Schwellenwerte werden in der BSI-Kritisverordnung definiert und unterscheiden sich je nach Sektor. So spielt zum Beispiel bei Energieversorgern die eingespeiste Leistung, bei Krankenhäusern die Anzahl der behandelten Patientinnen und Patienten und bei Wasserwerken die tägliche Fördermenge eine Rolle.

Zusätzlich zur quantitativen Schwelle ist auch der funktionale Beitrag zur Aufrechterhaltung zentraler gesellschaftlicher Funktionen entscheidend. Einrichtungen, die besonders viele Menschen versorgen, stark vernetzt sind oder für andere Systeme unverzichtbar sind, unterliegen einer besonderen Schutzverantwortung. Die Einordnung erfolgt dabei entweder durch Selbstidentifikation der Unternehmen oder durch die zuständigen Behörden auf Landes- oder Bundesebene. In unserem Blog „KRITIS Identifikation“ erfahren Sie mehr zur Selbstidentifikation Ihrer Organisation.

Die 9 KRITIS-Sektoren im Überblick

Um die komplexe Landschaft der kritischen Infrastrukturen greifbar zu machen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) neun Sektoren definiert, denen jeweils systemrelevante Einrichtungen und Organisationen zugeordnet sind. Diese Sektoren decken zentrale Lebensbereiche ab, deren Funktionieren für unsere Gesellschaft unerlässlich ist:

Energie

Dieser Sektor umfasst die Erzeugung, Umwandlung, Speicherung und Verteilung von Strom, Gas und Kraftstoffen. Ohne eine gesicherte Energieversorgung steht nahezu jedes andere System still – vom Licht in Krankenhäusern bis zur digitalen Kommunikation.

Informationstechnik und Telekommunikation

Hierzu zählen Betreiber von Internetknotenpunkten, Mobilfunknetzen und Rechenzentren. Sie sichern die digitale Infrastruktur und sind damit ein Rückgrat für Wirtschaft, Verwaltung und Notfallkommunikation.

Wasser

Die Versorgung mit sauberem Trinkwasser und die Entsorgung von Abwasser sind Grundpfeiler öffentlicher Gesundheit. Wasserwerke, Kläranlagen und Netzbetreiber fallen unter diesen Bereich.

Ernährung

Zu diesem Sektor gehören Unternehmen der Produktion, Verarbeitung und des Großhandels von Lebensmitteln. Ihre Aufgabe ist es, die Bevölkerung kontinuierlich mit sicheren Nahrungsmitteln zu versorgen.

Gesundheit

Hier sind Krankenhäuser, Labore, Apotheken und Unternehmen der Arzneimittelversorgung vertreten. Gerade in Krisenzeiten zeigt sich, wie entscheidend ein funktionierendes Gesundheitssystem ist.

Finanz- und Versicherungswesen

Banken, Börsen, Zahlungsdienstleister und Versicherer stellen sicher, dass wirtschaftliche Prozesse und soziale Absicherung funktionieren – auch in Ausnahmesituationen.

Transport und Verkehr

Der Personen- und Güterverkehr über Straße, Schiene, Luft und Wasser fällt in diesen Sektor. Er ist essenziell für die Versorgungsketten und die Mobilität von Menschen und Einsatzkräften.

Staat und Verwaltung

Dieser Bereich umfasst staatliche Kernfunktionen wie Parlamente, Ministerien, Polizei, Katastrophenschutz sowie zentrale Verwaltungs- und Justizstellen.

Medien und Kultur

Medienhäuser, Nachrichtenagenturen und Rundfunkanstalten gewährleisten, dass Informationen verlässlich verbreitet werden. In Krisenfällen ist dies besonders wichtig, um Desinformation entgegenzuwirken.

Beispiele aus der Praxis

Die abstrakten Sektoren und Kriterien zur Einordnung als kritische Infrastruktur lassen sich am besten anhand konkreter Beispiele veranschaulichen. Sie zeigen, wie vielfältig KRITIS in der Realität ist und wie schnell Organisationen in diese Kategorie fallen können, ohne es auf den ersten Blick zu erwarten.

Ein klassisches Beispiel ist ein Krankenhaus, das jährlich mehr als 30.000 vollstationäre Patientinnen und Patienten behandelt. Ab dieser Schwelle gilt es gemäß der KRITIS-Verordnung als kritische Infrastruktur im Sektor Gesundheit und unterliegt damit besonderen Pflichten hinsichtlich IT-Sicherheit, Notfallvorsorge und Meldepflichten.

Auch ein Rechenzentrum mit einer elektrischen Anschlussleistung von mehr als 3,5 Megawatt fällt unter die KRITIS-Kriterien im Bereich Informationstechnik. Hier geht es insbesondere um die Absicherung der digitalen Systeme und der physischen Infrastruktur, auf die zahlreiche weitere Organisationen angewiesen sind.

Ein weiteres Beispiel ist ein Lebensmittelgroßhändler, der täglich mehrere Millionen Menschen mit Waren beliefert. Wenn bestimmte Schwellenwerte hinsichtlich Umsatz oder Verteilungskapazität überschritten werden, kann auch dieser Betrieb als KRITIS-relevant eingestuft werden, mit entsprechenden Konsequenzen für das Risikomanagement und die Sicherheitsanforderungen.

Diese Beispiele machen deutlich: Kritische Infrastrukturen begegnen uns nicht nur in Kernbereichen wie Strom und Wasser, sondern auch in oft unterschätzten Bereichen wie Logistik, IT oder Handel. Eine fundierte Risikoanalyse und frühzeitige Identifikation helfen Unternehmen, ihrer Verantwortung gerecht zu werden und im Ernstfall resilient zu bleiben.

Gesetzliche Grundlagen und Schutzkonzepte

Der Schutz kritischer Infrastrukturen ist nicht nur eine organisatorische Herausforderung, sondern auch gesetzlich geregelt. Die wichtigsten rechtlichen Grundlagen stammen aus dem BSI-Gesetz (BSIG), der BSI-Kritisverordnung (BSI-KritisV) und zunehmend auch aus europäischen Regelungen wie der NIS2-Richtlinie.

Das BSI-Gesetz verpflichtet Betreiber kritischer Infrastrukturen zur Umsetzung angemessener technischer und organisatorischer Maßnahmen, um IT-Störungen zu verhindern oder deren Auswirkungen zu minimieren. Außerdem müssen erhebliche IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Die BSI-Kritisverordnung konkretisiert, welche Betreiber in welchen Sektoren unter das Gesetz fallen, etwa durch die bereits erwähnten Schwellenwerte. Sie dient als zentraler Bezugspunkt für die Selbstidentifikation von KRITIS-Betreibern.

Die NIS2-Richtlinie, die aktuell in deutsches Recht überführt wird, verschärft und erweitert diese Anforderungen noch einmal deutlich: mehr Sektoren, strengere Sicherheitsvorgaben und einheitliche Vorgaben in der EU sollen für ein höheres Sicherheitsniveau sorgen. Auch Unternehmen, die bisher nicht unter die KRITIS-Regelungen fielen, können künftig betroffen sein.

Zum Schutz ihrer Systeme setzen KRITIS-Betreiber auf etablierte Sicherheitskonzepte, wie z. B.:

• Einführung eines Information Security Management Systems (ISMS), z. B. nach ISO 27001 oder BSI IT-Grundschutz

• Durchführung von Risikoanalysen zur Identifikation und Bewertung von Bedrohungen

• Notfallmanagement (BCM), um bei Ausfällen schnell reagieren zu können (z. B. nach BSI-Standard 200-4)

• Etablierung von Sicherheitsrichtlinien, Zugangskontrollen und Schulungen für Mitarbeitende

Die Kombination aus gesetzlichen Vorgaben und praxisorientierten Schutzmaßnahmen bildet das Fundament für eine robuste Sicherheitsarchitektur in KRITIS-Unternehmen.

Warum der Schutz kritischer Infrastrukturen immer wichtiger wird

Die Bedeutung kritischer Infrastrukturen nimmt in einer zunehmend vernetzten und krisenanfälligen Welt weiter zu. Globale Ereignisse wie die COVID-19-Pandemie, Naturkatastrophen, geopolitische Spannungen oder gezielte Cyberangriffe haben in den vergangenen Jahren deutlich gezeigt, wie verletzlich zentrale Versorgungssysteme sein können und welche weitreichenden Folgen ein Ausfall haben kann.

Mit der zunehmenden Digitalisierung steigen zudem die potenziellen Angriffspunkte. Viele Systeme sind heute stark vernetzt, was ihre Effizienz steigert, aber auch neue Schwachstellen schafft. Angriffe auf Versorger, Krankenhäuser oder Behörden sind längst keine hypothetischen Szenarien mehr, sondern realistische Bedrohungen. Gleichzeitig führen Klimawandel, Energiekrisen und politische Unsicherheiten zu zusätzlichen Belastungen für die Versorgungssicherheit.

In diesem Kontext gewinnen gesetzliche Initiativen wie die NIS2-Richtlinie oder das geplante KRITIS-Dachgesetz an Bedeutung. Sie sollen nicht nur bestehende Schutzmaßnahmen vereinheitlichen, sondern auch Unternehmen aus weiteren Bereichen in die Pflicht nehmen – z. B. mittelgroße Organisationen, die bisher nicht als KRITIS galten, aber durch ihre Rolle im Netzwerk kritische Funktionen übernehmen.

Der Schutz kritischer Infrastrukturen ist daher keine statische Aufgabe, sondern ein fortlaufender Prozess, der technische, organisatorische und gesetzliche Entwicklungen kontinuierlich einbeziehen muss. Unternehmen sind gefordert, ihre Resilienz gezielt zu stärken, durch Investitionen in IT-Sicherheit, klare Zuständigkeiten und vorausschauende Risikoanalysen.

Fazit

Kritische Infrastrukturen sind das Rückgrat unserer Gesellschaft. Ihr Schutz ist essenziell, nicht nur im Krisenfall, sondern im täglichen Betrieb. Wer versteht, welche Bereiche unter KRITIS fallen, welche gesetzlichen Anforderungen gelten und welche Risiken bestehen, kann frühzeitig die richtigen Maßnahmen ergreifen. Gerade in einer zunehmend digitalisierten Welt ist Resilienz keine Option, sondern Pflicht.