KRITIS: Schutz kritischer Infrastruktur nach BSIG
Betreiber kritischer Infrastruktur müssen ihre IT-Sicherheit alle zwei Jahre nach §8a BSIG beim BSI nachweisen. Bei Verstößen drohen Bußgelder bis 20 Mio. Euro und persönliche Haftung der Geschäftsleitung. Die SIKKER GmbH begleitet Sie von der Betroffenheitsprüfung bis zur bestandenen Nachweisprüfung.
Was ist KRITIS?
KRITIS steht für Kritische Infrastrukturen. Damit bezeichnet das BSI Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit zur Folge hätte. In Deutschland regelt das BSI-Gesetz (BSIG) gemeinsam mit der KRITIS-Verordnung (BSI-KritisV), welche Anlagen als kritisch gelten und welche Pflichten deren Betreiber erfüllen müssen.
Ziel der KRITIS-Regulierung: die Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme sichern, die für das Funktionieren des Gemeinwesens unverzichtbar sind. KRITIS-Betreiber müssen ihre Informationssicherheit auf dem Stand der Technik halten und dies regelmäßig gegenüber dem BSI nachweisen. Mit der Umsetzung der NIS-2-Richtlinie wurde das BSIG umfassend novelliert; die bisherigen KRITIS-Pflichten bleiben bestehen und werden durch NIS-2-Vorgaben ergänzt.
KRITIS auf einen Blick
- Rechtsgrundlage: BSI-Gesetz (BSIG) und BSI-KritisV
- Sektoren: 10 KRITIS-Sektoren (Energie, Wasser, Gesundheit u.a.)
- Schwellenwerte: Definiert in BSI-KritisV (Versorgungsgrad ab 500.000 Personen)
- Aufsicht: BSI (Bundesamt für Sicherheit in der Informationstechnik)
- Nachweis: Alle 2 Jahre: Audit nach §8a BSIG
- Meldepflicht: IT-Störungen unverzüglich an das BSI melden
Die 10 KRITIS-Sektoren in Deutschland
Das BSI-Gesetz definiert zehn Sektoren, deren Einrichtungen als kritische Infrastruktur gelten können. Ob eine konkrete Anlage unter die KRITIS-Regulierung fällt, bestimmen die Schwellenwerte der BSI-KritisV.
Grundversorgung
- Energie: Strom, Gas, Mineralöl, Fernwärme
- Wasser: Trinkwasserversorgung und Abwasserentsorgung
- Ernährung: Lebensmittelproduktion und -versorgung
- Gesundheit: Krankenhäuser, Labore, Pharma, Medizinprodukte
- Siedlungsabfallentsorgung: Abfallsammlung und -verwertung
Infrastruktur und Dienstleistungen
- IT und Telekommunikation: Netze, Rechenzentren, DNS-Dienste
- Transport und Verkehr: Luft-, Schienen-, See- und Straßenverkehr
- Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen
- Staat und Verwaltung: Regierung, Parlamente, Justiz
- Medien und Kultur: Rundfunk, Presse, Kultureinrichtungen
Die Schwellenwerte orientieren sich am Versorgungsgrad: In der Regel gilt eine Anlage als KRITIS, wenn deren Ausfall mindestens 500.000 Personen betreffen würde. Die konkreten Schwellenwerte variieren je nach Sektor und Anlagenkategorie und sind in der BSI-KritisV festgelegt.
KRITIS-Anforderungen: Pflichten für Betreiber
Das BSIG verpflichtet KRITIS-Betreiber zu konkreten Maßnahmen zum Schutz ihrer IT-Systeme. Diese Pflichten gehen über allgemeine IT-Sicherheitsstandards hinaus und werden vom BSI überwacht.
Stand der Technik
IT-Sicherheitsmaßnahmen müssen dem aktuellen Stand der Technik entsprechen. Branchenspezifische Sicherheitsstandards (B3S) können als Orientierung dienen und vom BSI anerkannt werden.
Nachweisprüfung nach §8a BSIG
Alle zwei Jahre müssen KRITIS-Betreiber durch Audits, Prüfungen oder Zertifizierungen nachweisen, dass ihre Sicherheitsmaßnahmen den Anforderungen genügen.
Meldepflicht bei Störungen
IT-Störungen, die die Funktionsfähigkeit der kritischen Infrastruktur beeinträchtigen können, müssen unverzüglich an das BSI gemeldet werden. Das BSI kann bei Bedarf unterstützen.
Registrierung und Kontaktstelle
KRITIS-Betreiber müssen sich beim BSI registrieren und eine Kontaktstelle benennen, die rund um die Uhr erreichbar ist. Über diese Stelle läuft die Kommunikation bei Sicherheitsvorfällen.
ISMS und Sicherheitskonzept
Ein Informationssicherheits-Managementsystem (ISMS) bildet die Grundlage für die systematische Umsetzung aller KRITIS-Anforderungen und erleichtert die Nachweisprüfung erheblich.
Systeme zur Angriffserkennung
Seit Mai 2023 müssen KRITIS-Betreiber Systeme zur Angriffserkennung (SzA) einsetzen. Diese Pflicht wurde durch das IT-Sicherheitsgesetz 2.0 eingeführt und wird bei der Nachweisprüfung mit bewertet.
Was drohen bei Verstößen gegen KRITIS-Pflichten?
Das BSI verfügt über ein gestuftes Sanktionsinstrumentarium. Wer KRITIS-Pflichten verletzt, riskiert nicht nur Bußgelder, sondern auch aufsichtsrechtliche Anordnungen und persönliche Haftung der Geschäftsleitung.
Bußgelder bis 20 Mio. Euro
Das BSIG sieht Bußgelder bis zu 20 Mio. Euro oder 2 % des weltweiten Jahresumsatzes vor. Verstöße gegen Meldepflichten, fehlende Nachweise und unzureichende Sicherheitsmaßnahmen werden bereits sanktioniert.
BSI-Anordnungen und Zwangsgelder
Werden bei der Nachweisprüfung Mängel festgestellt, kann das BSI Nachbesserungen anordnen und Fristen setzen. Bei Nichteinhaltung folgen Zwangsgelder bis hin zur Untersagung einzelner IT-Prozesse.
Persönliche Haftung der Geschäftsleitung
Geschäftsführer und Vorstände haften nach §43 GmbHG und §93 AktG persönlich für Sorgfaltspflichtverletzungen. Durch NIS-2 wurde diese Haftung zusätzlich verschärft und ist nicht mehr delegierbar.
KRITIS und NIS-2: Zwei Regelwerke, ein Ziel
Mit der Umsetzung der NIS-2-Richtlinie gelten für KRITIS-Betreiber zusätzliche Pflichten. Beide Regelwerke verfolgen das gleiche Ziel, unterscheiden sich aber in Herkunft, Anwendungsbereich und Detailtiefe.
| Merkmal | KRITIS (BSIG / BSI-KritisV) | NIS-2 (EU-Richtlinie 2022/2555) |
|---|---|---|
| Herkunft | Nationales Recht (Deutschland) | EU-Richtlinie, national umgesetzt |
| Betroffene | Ca. 1.800 Betreiber in 10 Sektoren | Ca. 29.000 Unternehmen in 18 Sektoren |
| Schwellenwerte | Versorgungsgrad (500.000 Personen) | Mitarbeiterzahl und Umsatz |
| Nachweis | Audit alle 2 Jahre (§8a BSIG) | Auf Verlangen des BSI |
| Meldepflicht | Unverzüglich bei erheblichen Störungen | 24h Erstmeldung, 72h Folgemeldung |
| Persönliche Haftung | Haftung nach allgemeinem Gesellschaftsrecht | Geschäftsleitung haftet persönlich, nicht delegierbar |
KRITIS-Betreiber müssen beide Regelwerke gleichzeitig erfüllen. Ein ISMS nach ISO 27001 bildet eine gemeinsame Grundlage, die sowohl KRITIS- als auch NIS-2-Anforderungen adressiert. Durch eine integrierte Umsetzung lässt sich Doppelarbeit vermeiden.
KRITIS-Umsetzung: Ihr strukturierter Fahrplan
Die Umsetzung der KRITIS-Anforderungen lässt sich in fünf aufeinander aufbauende Schritte gliedern. Dieser Fahrplan ist besonders für Betreiber geeignet, die erstmals unter die KRITIS-Regulierung fallen oder ihre bestehenden Maßnahmen systematisch überprüfen wollen.
- 1
Betroffenheitsprüfung
Im ersten Schritt prüfen wir, ob Ihre Anlagen die Schwellenwerte der BSI-KritisV erreichen. Dazu analysieren wir Sektor, Anlagenkategorie und Versorgungsgrad.
Ergebnis: Betroffenheitsaussage samt Sektor- und Schwellenwertbewertung.
- 2
Ist-Analyse und Gap-Assessment
Wir bewerten Ihr aktuelles IT-Sicherheitsniveau gegen die KRITIS-Anforderungen und den Stand der Technik. Bestehende Maßnahmen, Richtlinien und Prozesse werden erfasst und Lücken identifiziert.
Ergebnis: Gap-Report mit priorisierter Maßnahmenliste.
- 3
ISMS-Aufbau und Maßnahmenplanung
Auf Basis der Gap-Analyse entwickeln wir einen risikobasierten Umsetzungsplan. Ein ISMS nach ISO 27001 bildet das Rückgrat und schafft die Grundlage für die Nachweisprüfung.
Ergebnis: Risikobasierter ISMS-Scope und Umsetzungsplan.
- 4
Implementierung und Dokumentation
Technische und organisatorische Maßnahmen werden umgesetzt, revisionssicher dokumentiert und in den Betriebsalltag integriert. Dazu gehören die BSI-Registrierung, die Kontaktstelle und die Systeme zur Angriffserkennung.
Ergebnis: BSI-Registrierung, dokumentierte Maßnahmen, aktive Kontaktstelle.
- 5
Nachweisprüfung und kontinuierliche Verbesserung
Wir bereiten Sie auf die Nachweisprüfung nach §8a BSIG vor und begleiten den Audit-Prozess. Nach dem Audit unterstützen wir bei der Umsetzung von Feststellungen und der Weiterentwicklung Ihres Sicherheitsniveaus.
Ergebnis: Bestandener §8a-Nachweis beim BSI.
Häufig gestellte Fragen
Wir haben ISO 27001 zertifiziert, reicht das für die §8a-Nachweisprüfung?
Eine ISO-27001-Zertifizierung deckt einen großen Teil der KRITIS-Anforderungen ab, ersetzt die Nachweisprüfung aber nicht vollständig. Das BSI verlangt ergänzend Nachweise zu KRITIS-spezifischen Aspekten wie der Systeme zur Angriffserkennung (SzA), zu Meldepflichten und zur branchenspezifischen Umsetzung (B3S). In der Praxis bauen wir auf dem bestehenden ISMS auf und ergänzen die KRITIS-Komponenten gezielt.
Wie lange dauert die KRITIS-Umsetzung realistisch?
Von der Betroffenheitsprüfung bis zum bestandenen Erstnachweis sollten Betreiber mit 12 bis 24 Monaten rechnen. Ohne bestehendes ISMS liegt die Dauer eher am oberen Ende, mit einem bereits etablierten Sicherheitsmanagement oft darunter. Entscheidend ist der Aufwand für die Dokumentation und den Aufbau der Systeme zur Angriffserkennung. Wir empfehlen, frühzeitig mit der Gap-Analyse zu beginnen.
Wann fällt ein Unternehmen unter KRITIS?
Ein Unternehmen fällt unter KRITIS, wenn es eine Anlage in einem der zehn KRITIS-Sektoren betreibt und die Schwellenwerte der BSI-KritisV erreicht. Maßstab ist in der Regel der Versorgungsgrad: Betrifft ein Ausfall 500.000 oder mehr Personen, gilt die Anlage als kritische Infrastruktur.
Was passiert, wenn Mängel bei der Nachweisprüfung festgestellt werden?
Das BSI kann nach §8a Abs. 4 BSIG Nachbesserungen anordnen und dafür Fristen setzen. Werden die Mängel nicht fristgerecht behoben, drohen Zwangsgelder und Bußgelder bis 20 Mio. Euro. Zusätzlich können aufsichtsrechtliche Maßnahmen folgen, bis hin zur Untersagung einzelner IT-Prozesse. Eine frühzeitige Abstimmung mit dem BSI und eine dokumentierte Umsetzungsplanung entschärfen solche Situationen.
Wie läuft die KRITIS-Nachweisprüfung ab?
KRITIS-Betreiber müssen alle zwei Jahre nachweisen, dass ihre IT-Sicherheitsmaßnahmen dem Stand der Technik entsprechen (§8a BSIG). Der Nachweis erfolgt durch Audits, Prüfungen oder Zertifizierungen einer vom BSI anerkannten prüfenden Stelle. Die Ergebnisse werden dem BSI übermittelt. Bei festgestellten Mängeln kann das BSI Nachbesserungen anordnen.
Was ist der Unterschied zwischen KRITIS und NIS-2?
KRITIS ist die deutsche Regulierung zum Schutz kritischer Infrastrukturen, verankert im BSI-Gesetz und der BSI-KritisV. NIS-2 ist eine EU-Richtlinie, die über KRITIS hinausgeht und deutlich mehr Unternehmen erfasst. KRITIS-Betreiber unterliegen beiden Regelwerken gleichzeitig. NIS-2 erweitert den Kreis betroffener Unternehmen, verschärft Meldepflichten und führt persönliche Haftung der Geschäftsleitung ein.
Verwandte Leistungen
KRITIS steht nicht isoliert. Diese Leistungen ergänzen die KRITIS-Umsetzung sinnvoll.
NIS-2-Umsetzung
KRITIS-Betreiber unterliegen zusätzlich der NIS-2-Richtlinie. Wir prüfen Überschneidungen und setzen beide Regelwerke effizient um.
Mehr erfahrenISMS & ISO 27001
Ein ISMS nach ISO 27001 erfüllt die Anforderungen an den Stand der Technik und erleichtert die KRITIS-Nachweisprüfung erheblich.
Mehr erfahrenAudits
Regelmäßige Audits sind Pflicht für KRITIS-Betreiber. Wir begleiten Ihre Nachweisprüfung nach §8a BSIG und bereiten Sie gezielt vor.
Mehr erfahrenIhr Partner für KRITIS-Beratung
Die SIKKER GmbH unterstützt KRITIS-Betreiber in ganz Deutschland bei der strukturierten Umsetzung der gesetzlichen Anforderungen. Unser Team verbindet regulatorisches Fachwissen mit Praxiserfahrung aus ISMS-Projekten und KRITIS-Audits, um die Anforderungen effizient in Ihre bestehenden Sicherheitsprozesse zu integrieren.
Von der Betroffenheitsprüfung über den ISMS-Aufbau bis zur Nachweisprüfung: Wir begleiten Sie in jeder Phase. Mehr über unser Team erfahren.
SIKKER GmbH
Informationssicherheit, Datenschutz & Compliance
KRITIS-Betroffenheit prüfen lassen
Wir analysieren, ob Ihre Anlagen unter die KRITIS-Regulierung fallen, bewerten Ihren Umsetzungsstand und entwickeln einen praxistauglichen Fahrplan zur Erfüllung aller Anforderungen.
Jetzt Erstberatung anfragen