Kritische Infrastrukturen bilden das Rückgrat unserer modernen Gesellschaft. Ohne sie würden Stromversorgung, Wasserversorgung, Telekommunikation und viele andere wichtige Bereiche zusammenbrechen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb klare Definitionen und Anforderungen entwickelt, um diese sensiblen Bereiche zu schützen.
Die KRITIS-Verordnung des BSI legt fest, welche Unternehmen als kritische Infrastruktur gelten und welche besonderen Pflichten sie erfüllen müssen. Diese Regelungen sind nicht nur rechtlich bindend, sondern auch praktisch wichtig für die Sicherheit unserer digitalen Gesellschaft.
Was versteht das BSI unter kritischer Infrastruktur?
Das BSI definiert kritische Infrastrukturen als Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen hätte. Diese Definition stammt aus dem BSI-Gesetz und bildet die Grundlage für alle KRITIS-Anforderungen.
Kritische Infrastrukturen zeichnen sich durch ihre besondere Bedeutung für das Funktionieren des Gemeinwesens aus. Sie versorgen die Bevölkerung mit lebensnotwendigen Gütern und Dienstleistungen oder sind für die Aufrechterhaltung gesellschaftlich wichtiger Funktionen verantwortlich. Das BSI betrachtet dabei sowohl die direkte Versorgung der Bevölkerung als auch die Abhängigkeiten zwischen verschiedenen Infrastrukturbereichen.
Welche Sektoren gelten als kritische Infrastrukturen?
Die BSI-KRITIS-Verordnung identifiziert neun Sektoren als kritische Infrastrukturen: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur.
Jeder Sektor ist in verschiedene Branchen unterteilt. Im Energiesektor gehören beispielsweise Elektrizität, Gas und Mineralöl dazu. Der IT- und Telekommunikationssektor umfasst Telekommunikation und Informationstechnik. Das Gesundheitswesen gliedert sich in medizinische Versorgung, Arzneimittel und Impfstoffe sowie Labore. Diese detaillierte Aufgliederung hilft dabei, genau zu bestimmen, welche Unternehmen unter die KRITIS-Regelungen fallen.
Ab wann gilt ein Unternehmen als kritische Infrastruktur?
Ein Unternehmen gilt als KRITIS-Betreiber, wenn es eine Anlage betreibt, die einen festgelegten Schwellenwert überschreitet und damit eine kritische Dienstleistung erbringt. Diese Schwellenwerte sind für jeden Sektor und jede Branche spezifisch definiert und orientieren sich an der Versorgungsleistung.
Die Schwellenwerte variieren je nach Branche erheblich. In der Elektrizitätsversorgung liegt der Schwellenwert beispielsweise bei 420.000 angeschlossenen Letztverbrauchern. Bei Krankenhäusern sind es 30.000 vollstationäre Fälle pro Jahr. Telekommunikationsunternehmen gelten ab 500.000 Teilnehmeranschlüssen als KRITIS. Diese unterschiedlichen Werte berücksichtigen die verschiedenen Arten der Versorgungsleistung und deren gesellschaftliche Bedeutung.
Bestimmung der KRITIS-Eigenschaft
Unternehmen müssen selbst prüfen, ob sie die Schwellenwerte erreichen. Das BSI stellt dafür entsprechende Berechnungsgrundlagen zur Verfügung. Bei Unsicherheiten können sich Unternehmen direkt an das BSI wenden, um ihre Einstufung zu klären.
Welche Pflichten haben KRITIS-Betreiber nach dem BSI-Gesetz?
KRITIS-Betreiber müssen angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme zu vermeiden. Zusätzlich sind sie verpflichtet, erhebliche Störungen unverzüglich an das BSI zu melden.
Die konkreten KRITIS-Anforderungen umfassen mehrere Bereiche. Betreiber müssen ein Informationssicherheitsmanagementsystem nach dem Stand der Technik implementieren. Alle zwei Jahre ist eine Überprüfung der Sicherheitsmaßnahmen durch qualifizierte Stellen erforderlich. Bei erheblichen Störungen oder Sicherheitsvorfällen besteht eine Meldepflicht an das BSI innerhalb bestimmter Fristen.
Nachweis und Dokumentation
KRITIS-Betreiber müssen dem BSI nachweisen, dass sie die erforderlichen Sicherheitsmaßnahmen umgesetzt haben. Dies geschieht durch entsprechende Nachweise und Dokumentationen. Das BSI kann bei Bedarf auch Vor-Ort-Kontrollen durchführen, um die Einhaltung der Anforderungen zu überprüfen.
Wie schützt das BSI kritische Infrastrukturen vor Cyberangriffen?
Das BSI schützt kritische Infrastrukturen durch eine Kombination aus präventiven Maßnahmen, kontinuierlicher Überwachung und reaktiven Unterstützungsleistungen. Dazu gehören die Entwicklung von Sicherheitsstandards, die Bereitstellung von Warn- und Informationsdiensten sowie die Unterstützung bei Sicherheitsvorfällen.
Die Schutzmaßnahmen des BSI sind vielschichtig angelegt. Das Amt entwickelt branchenspezifische Sicherheitsstandards und stellt diese den KRITIS-Betreibern zur Verfügung. Über verschiedene Informationsdienste warnt das BSI vor aktuellen Bedrohungen und gibt Handlungsempfehlungen. Bei konkreten Angriffen oder Sicherheitsvorfällen bietet das BSI direkte Unterstützung und Expertise.
Zusammenarbeit und Informationsaustausch
Das BSI fördert den Austausch zwischen KRITIS-Betreibern und anderen Sicherheitsbehörden. Regelmäßige Veranstaltungen, Arbeitsgruppen und bilaterale Gespräche dienen dazu, Erfahrungen zu teilen und gemeinsame Lösungen zu entwickeln. Diese Zusammenarbeit stärkt die Resilienz der gesamten kritischen Infrastruktur.
Wie CCVOSSEL bei KRITIS-Anforderungen hilft
Wir unterstützen KRITIS-Betreiber dabei, alle BSI-Anforderungen erfolgreich zu erfüllen. Mit unserer langjährigen Erfahrung in kritischen Infrastrukturumgebungen und als Co-Autoren im TeleTrusT-Arbeitskreis „Stand der Technik“ kennen wir die spezifischen Herausforderungen und rechtlichen Anforderungen genau.
Unsere Leistungen für KRITIS-Betreiber umfassen:
- Entwicklung maßgeschneiderter Sicherheitskonzepte und technisch-organisatorischer Maßnahmen
- Durchführung der vorgeschriebenen Sicherheitsüberprüfungen durch qualifizierte Experten
- 24/7 Security Monitoring zur kontinuierlichen Überwachung kritischer Systeme
- Penetrationstests zur proaktiven Identifikation von Sicherheitslücken
- Unterstützung bei der Implementierung von Informationssicherheitsmanagementsystemen
Kontaktieren Sie uns über unsere Kontaktseite, um zu erfahren, wie wir Ihr Unternehmen bei der Erfüllung der KRITIS-Anforderungen unterstützen können. Gemeinsam sorgen wir dafür, dass Ihre kritische Infrastruktur den höchsten Sicherheitsstandards entspricht.