Kritische Infrastrukturen (KRITIS) bilden das Rückgrat unserer modernen Gesellschaft. Ohne sie würde unser Alltag stillstehen – von der Stromversorgung über die Wasseraufbereitung bis hin zu Telekommunikation und Finanzdienstleistungen. Doch gerade diese wichtige Rolle macht KRITIS zu attraktiven Zielen für Cyberangriffe und andere Bedrohungen.
Die BSI-Verordnung definiert daher spezielle Anforderungen für KRITIS-Betreiber, um die Sicherheit dieser unverzichtbaren Systeme zu gewährleisten. Doch was genau verbirgt sich hinter diesen Vorschriften, und wen betreffen sie? Dieser Artikel erklärt dir alle wichtigen Aspekte der KRITIS-Anforderungen nach der BSI-Verordnung.
Was sind KRITIS und warum sind sie so wichtig?
KRITIS sind Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu nachhaltigen Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen gravierenden Folgen führen würde. Sie umfassen neun Sektoren: Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur sowie staatliche Verwaltung.
Die Bedeutung von KRITIS wird besonders deutlich, wenn man sich die Auswirkungen eines großflächigen Stromausfalls vorstellt. Innerhalb weniger Stunden wären Krankenhäuser auf Notstrom angewiesen, Ampeln würden ausfallen, Geldautomaten würden nicht mehr funktionieren, und die Kommunikation würde zusammenbrechen. Genau deshalb hat der Gesetzgeber besondere Schutzmaßnahmen für diese Bereiche entwickelt.
Das IT-Sicherheitsgesetz und die darauf basierende BSI-Verordnung schaffen einen rechtlichen Rahmen, der KRITIS-Betreiber zu angemessenen Sicherheitsmaßnahmen verpflichtet. Diese Regelungen sollen verhindern, dass kritische Infrastrukturen zum schwächsten Glied in der Sicherheitskette werden.
Welche Unternehmen fallen unter die KRITIS-Verordnung?
Unternehmen fallen unter die KRITIS-Verordnung, wenn sie Anlagen betreiben, die bestimmte Schwellenwerte überschreiten und damit als kritisch für die Versorgung der Bevölkerung eingestuft werden. Die Schwellenwerte sind je nach Sektor unterschiedlich definiert und orientieren sich an der Anzahl der versorgten Personen oder der Kapazität der Anlage.
Im Energiesektor gelten beispielsweise Kraftwerke ab 420 MW elektrischer Leistung als KRITIS, während im Wassersektor Anlagen erfasst werden, die mehr als 500.000 Menschen versorgen. Bei Krankenhäusern liegt die Grenze bei 30.000 vollstationären Behandlungsfällen pro Jahr. Telekommunikationsunternehmen fallen unter KRITIS, wenn sie mehr als 500.000 Teilnehmende versorgen.
Wichtig ist: Die Einstufung als KRITIS erfolgt nicht automatisch. Unternehmen müssen selbst prüfen, ob sie die Schwellenwerte erreichen, und sich gegebenenfalls beim BSI registrieren. Diese Selbsteinschätzung solltest du regelmäßig überprüfen, da sich Schwellenwerte durch Unternehmenswachstum oder Änderungen in der Verordnung verschieben können.
Welche konkreten Pflichten haben KRITIS-Betreiber nach der BSI-Verordnung?
KRITIS-Betreiber müssen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme treffen. Diese Pflichten umfassen die Implementierung von Sicherheitsmaßnahmen nach dem Stand der Technik, die Meldung erheblicher Störungen an das BSI sowie regelmäßige Nachweise der IT-Sicherheit.
Zu den wichtigsten Verpflichtungen gehören:
- Einrichtung eines Informationssicherheitsmanagementsystems (ISMS)
- Durchführung regelmäßiger Risikoanalysen und Sicherheitsaudits
- Benennung einer Ansprechperson für IT-Sicherheit
- Meldung von IT-Sicherheitsvorfällen binnen 24 Stunden an das BSI
- Nachweis der IT-Sicherheit alle zwei Jahre durch Prüfung oder Zertifizierung
Die Sicherheitsmaßnahmen müssen dem Stand der Technik entsprechen, der sich an anerkannten Standards wie ISO 27001, dem IT-Grundschutz des BSI oder branchenspezifischen Sicherheitsstandards (B3S) orientiert. Dabei ist wichtig zu verstehen, dass „angemessen“ nicht bedeutet, dass alle theoretisch möglichen Maßnahmen umgesetzt werden müssen, sondern dass ein ausgewogenes Verhältnis zwischen Risiko und Aufwand gefunden werden sollte.
Wie setzt man die IT-Sicherheitsanforderungen praktisch um?
Die praktische Umsetzung der KRITIS-Anforderungen beginnt mit einer umfassenden Bestandsaufnahme aller IT-Systeme und Prozesse, gefolgt von einer strukturierten Risikoanalyse. Anschließend entwickelst du ein maßgeschneidertes Sicherheitskonzept, das technische und organisatorische Maßnahmen (TOM) definiert, und implementierst diese schrittweise nach Prioritäten.
Der erste Schritt ist die Einführung eines ISMS, das als Rahmenwerk für alle weiteren Aktivitäten dient. Hier definierst du Sicherheitsziele, Verantwortlichkeiten und Prozesse. Parallel dazu solltest du eine detaillierte Inventarisierung aller kritischen Systeme und Datenflüsse durchführen.
Bei der technischen Umsetzung stehen Maßnahmen wie Netzwerksegmentierung, Zugriffskontrollen, Monitoring-Systeme und Backup-Strategien im Vordergrund. Organisatorisch geht es um Notfallpläne, Schulungen der Mitarbeitenden und die Etablierung von Incident-Response-Prozessen. Ein besonderer Fokus liegt auf der Absicherung von OT-Systemen (Operational Technology), die oft jahrelang ohne Updates laufen und besondere Schutzmaßnahmen benötigen.
Die Herausforderung liegt oft darin, die Anforderungen mit dem laufenden Betrieb zu vereinbaren. Hier hilft eine phasenweise Einführung, bei der du zuerst die kritischsten Systeme absicherst und dann schrittweise weitere Bereiche einbeziehst.
Was passiert bei Verstößen gegen KRITIS-Anforderungen?
Bei Verstößen gegen KRITIS-Anforderungen können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängt werden. Das BSI kann zudem Anordnungen zur Beseitigung von Mängeln erlassen und in schweren Fällen sogar den Betrieb untersagen, wenn die Sicherheit nicht gewährleistet ist.
Die Bußgelder richten sich nach der Schwere des Verstoßes und der Größe des Unternehmens. Schon die verspätete oder unterlassene Meldung von Sicherheitsvorfällen kann mit erheblichen Strafen belegt werden. Besonders hart werden systematische Verstöße gegen die Nachweispflichten oder die bewusste Missachtung von BSI-Anordnungen geahndet.
Neben den direkten rechtlichen Konsequenzen können Verstöße auch erhebliche Reputationsschäden und Vertrauensverluste bei Kunden und Partnern zur Folge haben. In der Praxis zeigt sich, dass das BSI zunächst auf Kooperation setzt und Unternehmen die Möglichkeit gibt, Mängel zu beheben, bevor Sanktionen verhängt werden.
Präventive Maßnahmen sind daher nicht nur aus Compliance-Sicht, sondern auch aus wirtschaftlicher Perspektive sinnvoll. Eine proaktive Herangehensweise an IT-Sicherheit ist in der Regel kostengünstiger als die nachträgliche Behebung von Sicherheitslücken oder gar die Bewältigung eines Cyberangriffs.
Wie CCVOSSEL bei KRITIS-Anforderungen hilft
Wir unterstützen KRITIS-Betreiber umfassend bei der Erfüllung aller BSI-Anforderungen – von der ersten Bewertung bis zur dauerhaften Compliance. Mit unserer langjährigen Erfahrung in kritischen Infrastrukturen und als Co-Autoren im TeleTrusT-Arbeitskreis „Stand der Technik“ kennen wir die praktischen Herausforderungen und regulatorischen Feinheiten genau.
Unser Leistungsspektrum umfasst:
- Entwicklung maßgeschneiderter Sicherheitskonzepte und TOM nach BSI-Standards
- Durchführung von Penetrationstests und Vulnerability Assessments
- Aufbau und Zertifizierung von Informationssicherheitsmanagementsystemen
- 24/7 Security Monitoring für kontinuierliche Überwachung
- Schulungen und Awareness-Programme für Ihre Mitarbeitenden
Unsere ISO-27001-zertifizierten Experten begleiten Sie durch den gesamten Compliance-Prozess und sorgen dafür, dass Ihre kritische Infrastruktur nicht nur den gesetzlichen Anforderungen entspricht, sondern auch optimal vor aktuellen Bedrohungen geschützt ist. Kontaktieren Sie uns für eine unverbindliche Beratung zu Ihren spezifischen KRITIS-Anforderungen.