KRITIS und IT-SiG sind zwei wichtige Begriffe in der deutschen Cybersicherheitslandschaft, die oft verwechselt werden. Beide regeln IT-Sicherheitsanforderungen für Unternehmen, unterscheiden sich jedoch erheblich in ihrem Anwendungsbereich und ihren spezifischen Anforderungen. Während KRITIS sich auf kritische Infrastrukturen konzentriert, hat das IT-Sicherheitsgesetz einen breiteren Anwendungsbereich.
Für Unternehmen ist es wichtig zu verstehen, welche Regelungen für sie gelten, da die Compliance-Anforderungen und möglichen Sanktionen erheblich variieren können. Diese Klarstellung hilft dabei, die richtigen Sicherheitsmaßnahmen zu implementieren und rechtliche Risiken zu minimieren.
Was bedeutet KRITIS und welche Bereiche umfasst es?
KRITIS steht für „Kritische Infrastrukturen“ und bezeichnet Organisationen und Einrichtungen, die für das Funktionieren des Gemeinwesens unverzichtbar sind. Diese Infrastrukturen sind so wichtig, dass ihr Ausfall oder ihre Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde.
Die BSI-KRITIS-Verordnung definiert neun Sektoren als kritische Infrastrukturen: Energie (Strom, Gas, Kraftstoffe), Wasser/Abwasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur sowie staatliche Verwaltung. Innerhalb dieser Sektoren gelten spezifische Schwellenwerte, ab denen Unternehmen als KRITIS-Betreiber eingestuft werden.
Die Einstufung erfolgt anhand von Versorgungsgraden und der Anzahl versorgter Personen. Ein Stromversorger wird beispielsweise ab 500.000 versorgten Personen als KRITIS-Betreiber klassifiziert, während Krankenhäuser bereits ab 30.000 vollstationären Behandlungsfällen pro Jahr unter die KRITIS-Anforderungen fallen.
Was ist das IT-Sicherheitsgesetz und wen betrifft es?
Das IT-Sicherheitsgesetz (IT-SiG) ist ein umfassendes Regelwerk zur Verbesserung der IT-Sicherheit in Deutschland, das sowohl KRITIS-Betreiber als auch andere Unternehmen betrifft. Es verpflichtet Betreiber kritischer Infrastrukturen zu erhöhten Sicherheitsmaßnahmen und erweitert die Befugnisse des BSI.
Das Gesetz betrifft primär KRITIS-Betreiber, aber auch Telemediendienste mit erheblicher Bedeutung für die öffentliche Sicherheit. Dazu gehören große Online-Plattformen, Cloud-Anbieter und andere digitale Dienste, die eine kritische Rolle in der digitalen Infrastruktur spielen. Die Bestimmung erfolgt anhand von Nutzerzahlen und der gesellschaftlichen Relevanz der Dienste.
Zusätzlich schafft das IT-SiG Meldepflichten für alle Unternehmen bei schwerwiegenden IT-Sicherheitsvorfällen und stärkt die Rolle des BSI als zentrale Cybersicherheitsbehörde. Auch Unternehmen außerhalb von KRITIS können daher indirekt von den Regelungen betroffen sein, insbesondere bei der Meldung von Sicherheitsvorfällen.
Wo liegt der Hauptunterschied zwischen KRITIS und IT-SiG?
Der Hauptunterschied liegt darin, dass KRITIS eine Klassifizierung von Infrastrukturen beschreibt, während das IT-SiG das gesetzliche Regelwerk darstellt, das diese und andere Organisationen reguliert. KRITIS definiert „was“ reguliert wird, das IT-SiG bestimmt „wie“ reguliert wird.
KRITIS-Betreiber unterliegen automatisch den strengsten Anforderungen des IT-SiG, einschließlich umfassender Meldepflichten, regelmäßiger Sicherheitsüberprüfungen und der Implementierung eines Informationssicherheitsmanagementsystems nach dem Stand der Technik. Nicht-KRITIS-Unternehmen haben hingegen hauptsächlich Meldepflichten bei erheblichen Störungen.
Ein weiterer wichtiger Unterschied liegt in der Überwachung: KRITIS-Betreiber müssen sich regelmäßigen Audits durch das BSI unterziehen und können bei Nichteinhaltung mit empfindlichen Bußgeldern belegt werden. Andere Unternehmen unterliegen weniger strengen Kontrollmechanismen, haben aber dennoch bestimmte Kooperationspflichten mit den Behörden.
Welche Sicherheitsanforderungen gelten für KRITIS-Betreiber?
KRITIS-Betreiber müssen umfassende Sicherheitsmaßnahmen nach dem Stand der Technik implementieren, die deutlich über Standard-IT-Sicherheit hinausgehen. Diese Anforderungen umfassen technische und organisatorische Maßnahmen sowie kontinuierliche Überwachung und Berichterstattung.
Die KRITIS-Anforderungen beinhalten die Einführung eines zertifizierten Informationssicherheitsmanagementsystems (ISMS), regelmäßige Risikoanalysen und die Implementierung angemessener Schutzmaßnahmen. Betreiber müssen außerdem Kontaktstellen beim BSI benennen und erhebliche IT-Sicherheitsvorfälle unverzüglich melden.
Zusätzlich sind KRITIS-Betreiber verpflichtet, alle zwei Jahre einen Nachweis über die Erfüllung der Sicherheitsanforderungen zu erbringen. Dies kann durch Audits, Penetrationstests oder andere geeignete Prüfverfahren erfolgen. Bei Nichteinhaltung drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
Wie bestimme ich, ob mein Unternehmen unter KRITIS oder IT-SiG fällt?
Die Bestimmung erfolgt zunächst durch eine Sektoranalyse: Prüfen Sie, ob Ihr Unternehmen in einem der neun KRITIS-Sektoren tätig ist und die jeweiligen Schwellenwerte erreicht. Das BSI stellt detaillierte Listen und Berechnungstools zur Verfügung, die bei dieser Einschätzung helfen.
Für die KRITIS-Einstufung sind spezifische Kennzahlen relevant: Versorgungsgrade, Behandlungsfälle, Passagieraufkommen oder andere sektorspezifische Metriken. Diese Werte sind in der BSI-KRITIS-Verordnung genau definiert und werden regelmäßig überprüft. Unternehmen, die diese Schwellenwerte erreichen, werden automatisch zu KRITIS-Betreibern.
Auch wenn Ihr Unternehmen nicht als KRITIS eingestuft wird, können dennoch IT-SiG-Pflichten gelten, insbesondere die Meldepflicht für schwerwiegende IT-Sicherheitsvorfälle. Im Zweifelsfall empfiehlt sich eine professionelle Beratung, um die genauen Anforderungen zu klären und rechtliche Risiken zu vermeiden.
Wie CCVOSSEL bei KRITIS-Compliance unterstützt
CCVOSSEL unterstützt Unternehmen dabei, die komplexen KRITIS-Anforderungen zu verstehen und erfolgreich umzusetzen. Als zertifizierte Experten mit langjähriger Erfahrung in kritischen Infrastrukturen bieten wir umfassende Beratung von der ersten Bewertung bis zur kontinuierlichen Compliance-Überwachung.
Unsere Leistungen umfassen:
- KRITIS-Klassifizierung und Gap-Analysen
- Entwicklung maßgeschneiderter Sicherheitskonzepte nach dem Stand der Technik
- Implementierung von ISMS nach ISO 27001
- Penetrationstests und Sicherheitsaudits
- 24/7 Security Monitoring und Incident Response
- Schulungen und Awareness-Programme
Kontaktieren Sie uns für eine unverbindliche Erstberatung und erfahren Sie, wie wir Ihr Unternehmen bei der Erfüllung der KRITIS-Anforderungen unterstützen können. Gemeinsam entwickeln wir eine Strategie, die sowohl Compliance sicherstellt als auch Ihre Geschäftsprozesse optimal schützt.