Die KRITIS-Verordnung betrifft kritische Infrastrukturen in Deutschland und stellt spezielle Anforderungen an die IT-Sicherheit. Viele Unternehmen sind sich unsicher, ob und wann sie diese Vorschriften umsetzen müssen. Die Bestimmungen sind komplex, und die Fristen sind verbindlich.
In diesem Artikel beantworten wir die wichtigsten Fragen rund um KRITIS-Anforderungen und zeigen dir, was du beachten musst. Von der grundlegenden Definition bis hin zu konkreten Umsetzungsfristen erfährst du alles Relevante für dein Unternehmen.
Was sind KRITIS-Anforderungen und warum existieren sie?
KRITIS-Anforderungen sind gesetzliche IT-Sicherheitsvorschriften für Betreiber kritischer Infrastrukturen in Deutschland. Sie basieren auf dem IT-Sicherheitsgesetz und der BSI-KRITIS-Verordnung und sollen die Funktionsfähigkeit wichtiger gesellschaftlicher Bereiche sicherstellen.
Diese Vorschriften existieren, weil kritische Infrastrukturen das Rückgrat unserer Gesellschaft bilden. Ein Ausfall der Stromversorgung, des Telekommunikationsnetzes oder der Wasserversorgung hätte gravierende Folgen für Millionen von Menschen. Die KRITIS-Anforderungen schaffen einheitliche Mindeststandards für die IT-Sicherheit in diesen sensiblen Bereichen.
Die Verordnung definiert konkrete Schwellenwerte für verschiedene Sektoren wie Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Unternehmen, die diese Schwellenwerte überschreiten, gelten als Betreiber kritischer Infrastrukturen und müssen entsprechende Sicherheitsmaßnahmen implementieren.
Welche Unternehmen müssen KRITIS-Anforderungen erfüllen?
Unternehmen müssen KRITIS-Anforderungen erfüllen, wenn sie Betreiber kritischer Infrastrukturen sind und die in der BSI-KRITIS-Verordnung definierten Schwellenwerte überschreiten. Dies betrifft sieben Sektoren mit spezifischen Grenzwerten für Versorgungsleistungen.
Die Schwellenwerte variieren je nach Sektor erheblich. Im Energiesektor gelten beispielsweise Stromerzeuger ab 420 MW installierter Leistung als kritisch, während Gasverteilnetze ab 100.000 angeschlossenen Letztverbrauchern erfasst werden. Im Wassersektor sind Anlagen ab 500.000 versorgten Einwohnern betroffen.
Auch kleinere Unternehmen können betroffen sein, wenn sie wichtige Funktionen übernehmen. Rechenzentren gelten bereits ab 2.500 Quadratmetern Rechenzentrumsnutzfläche als kritische Infrastruktur. Krankenhäuser mit mehr als 30.000 stationären Behandlungsfällen pro Jahr fallen ebenfalls unter die Verordnung.
Wichtig ist, dass sich die Einstufung als KRITIS-Betreiber nicht nur nach der Unternehmensgröße richtet, sondern nach der tatsächlichen Versorgungsleistung. Ein regional wichtiger Versorger kann durchaus unter die Schwellenwerte fallen, während ein spezialisierter Dienstleister diese überschreitet.
Wann greifen die KRITIS-Meldepflichten und Fristen?
KRITIS-Meldepflichten greifen sofort nach Überschreitung der Schwellenwerte. Betreiber müssen sich binnen zwei Jahren beim BSI registrieren und alle zwei Jahre einen Nachweis über angemessene IT-Sicherheitsmaßnahmen erbringen.
Die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik erfolgt über das KRITIS-Portal. Dabei müssen Unternehmen detaillierte Angaben zu ihren Anlagen und Prozessen machen. Diese Meldung ist nicht nur eine Formalität, sondern die Grundlage für die weitere Überwachung durch das BSI.
Besonders wichtig sind die Störungsmeldungen. Erhebliche IT-Sicherheitsvorfälle müssen unverzüglich, spätestens jedoch innerhalb von sechs Stunden, an das BSI gemeldet werden. Als erheblich gelten Störungen, die die Funktionsfähigkeit der kritischen Infrastruktur beeinträchtigen oder beeinträchtigen könnten.
Der zweijährige Nachweis über IT-Sicherheitsmaßnahmen kann durch verschiedene Verfahren erbracht werden. Unternehmen können zwischen einer Auditierung nach ISO 27001, einer Zertifizierung nach IT-Grundschutz oder einer branchenspezifischen Sicherheitsrichtlinie wählen. Die Wahl des Verfahrens sollte zur Unternehmensstruktur und zu den vorhandenen Prozessen passen.
Welche konkreten IT-Sicherheitsmaßnahmen sind umzusetzen?
KRITIS-Betreiber müssen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme implementieren. Diese Maßnahmen müssen dem Stand der Technik entsprechen.
Zu den wichtigsten technischen Maßnahmen gehören Firewalls, Intrusion-Detection-Systeme, regelmäßige Sicherheitsupdates und Backup-Systeme. Die Systeme müssen kontinuierlich überwacht werden, um Anomalien frühzeitig zu erkennen. Besonders wichtig ist die Segmentierung von Netzwerken, um die Ausbreitung von Angriffen zu verhindern.
Organisatorische Maßnahmen umfassen die Erstellung von IT-Sicherheitsrichtlinien, regelmäßige Schulungen der Mitarbeiter und die Etablierung eines Incident-Response-Prozesses. Ein IT-Sicherheitsbeauftragter muss benannt werden, der für die Koordination aller Sicherheitsmaßnahmen verantwortlich ist.
Regelmäßige Penetrationstests und Vulnerability Assessments sind ebenfalls erforderlich. Diese Tests decken Schwachstellen auf, bevor sie von Angreifern ausgenutzt werden können. Die Ergebnisse müssen dokumentiert und in einem kontinuierlichen Verbesserungsprozess berücksichtigt werden.
Was passiert bei Nichteinhaltung der KRITIS-Vorschriften?
Bei Nichteinhaltung der KRITIS-Vorschriften drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Das BSI kann außerdem Anordnungen zur Nachbesserung erlassen und im Extremfall den Betrieb untersagen.
Die Bußgelder richten sich nach der Schwere des Verstoßes und der Unternehmensgröße. Bereits die unterlassene Registrierung beim BSI kann mit erheblichen Strafen geahndet werden. Besonders schwerwiegend sind Verstöße gegen die Meldepflicht bei IT-Sicherheitsvorfällen, da diese die nationale Sicherheit gefährden können.
Neben den direkten finanziellen Folgen können Verstöße auch erhebliche Reputationsschäden verursachen. Das BSI veröffentlicht regelmäßig Berichte über die Sicherheitslage, in denen auch Verstöße gegen KRITIS-Vorschriften thematisiert werden. Dies kann das Vertrauen von Kunden und Geschäftspartnern nachhaltig beschädigen.
Darüber hinaus können bei schwerwiegenden Verstößen auch strafrechtliche Konsequenzen drohen. Wenn durch mangelnde IT-Sicherheit Menschen zu Schaden kommen oder erhebliche Sachschäden entstehen, können Verantwortliche persönlich haftbar gemacht werden.
Wie CCVOSSEL bei KRITIS-Anforderungen hilft
Wir unterstützen KRITIS-Betreiber umfassend bei der Umsetzung aller gesetzlichen Anforderungen. Mit unserer langjährigen Erfahrung im Bereich kritischer Infrastrukturen entwickeln wir maßgeschneiderte Sicherheitskonzepte und begleiten den gesamten Compliance-Prozess.
Unsere Leistungen umfassen:
- Gap-Analysen zur Bewertung des aktuellen Sicherheitsstands
- Entwicklung und Implementierung von IT-Sicherheitskonzepten nach dem Stand der Technik
- Durchführung von Penetrationstests und Vulnerability Assessments
- Unterstützung bei der BSI-Registrierung und Nachweisführung
- 24/7 Security Monitoring und Incident Response
Als zertifizierte Experten mit ISO-27001-Zertifizierung und aktiver Mitarbeit in der TeleTrusT-Arbeitsgruppe „Stand der Technik“ verstehen wir die komplexen Anforderungen der KRITIS-Verordnung. Kontaktieren Sie uns für eine unverbindliche Beratung zu Ihren spezifischen Anforderungen.