Kritische Infrastrukturen bilden das Rückgrat unserer modernen Gesellschaft. Wenn Stromnetze ausfallen, Krankenhäuser ihre IT-Systeme verlieren oder Wasserwerke nicht mehr funktionieren, spüren wir alle die Auswirkungen. Deshalb hat der Gesetzgeber spezielle KRITIS-Anforderungen entwickelt, die bestimmte Branchen zu besonderen Sicherheitsmaßnahmen verpflichten.
Doch welche Unternehmen sind eigentlich betroffen? Die Antwort ist komplexer, als viele denken. Nicht jeder Energieversorger oder jedes Krankenhaus fällt automatisch unter die KRITIS-Regelungen. Es kommt auf Größe, Reichweite und gesellschaftliche Bedeutung an.
Was sind KRITIS und warum sind sie so wichtig?
KRITIS sind Kritische Infrastrukturen – also Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen hätte. Sie bilden das Fundament für das Funktionieren unserer Gesellschaft und Wirtschaft.
Die Bedeutung von KRITIS wird besonders in Krisenzeiten deutlich. Cyberangriffe auf Energieversorger, Ransomware-Attacken auf Krankenhäuser oder Störungen in der Wasserversorgung zeigen, wie verwundbar unsere digitalisierte Gesellschaft geworden ist. Deshalb hat der Gesetzgeber mit dem IT-Sicherheitsgesetz und der BSI-Kritisverordnung einen rechtlichen Rahmen geschaffen, der diese wichtigen Infrastrukturen besonders schützt.
Die KRITIS-Regelungen verpflichten betroffene Unternehmen zu erhöhten Sicherheitsstandards, regelmäßigen Sicherheitsüberprüfungen und zur Meldung von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Welche Branchen fallen unter die KRITIS-Regelungen?
Neun Branchen sind in Deutschland als Kritische Infrastrukturen definiert: Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur sowie Staat und Verwaltung. Diese Sektoren sind in der BSI-Kritisverordnung detailliert aufgeführt.
Im Energiesektor gehören dazu Elektrizitäts- und Gasversorgungsunternehmen, Mineralölraffinerien und Fernwärmenetze. Der Wassersektor umfasst sowohl die Trinkwasserversorgung als auch die Abwasserentsorgung. Im Bereich Ernährung sind Lebensmittelhändler mit großen Verkaufsflächen sowie Hersteller bestimmter Grundnahrungsmittel betroffen.
Im Bereich Informationstechnik und Telekommunikation fallen Internetknoten, große Rechenzentren sowie Mobilfunk- und Festnetzanbieter unter die Regelungen. Das Gesundheitswesen umfasst Krankenhäuser ab einer bestimmten Bettenzahl und Labore. Banken, Versicherungen und Börsen repräsentieren das Finanz- und Versicherungswesen.
Transport und Verkehr umfasst Flughäfen, Häfen, Bahninfrastruktur und Logistikunternehmen. Der Medien- und Kultursektor umfasst Rundfunkveranstalter und bedeutende Kultureinrichtungen. Staat und Verwaltung schließlich bezieht sich auf zentrale Regierungs- und Verwaltungseinrichtungen.
Wie werden KRITIS-Betreiber identifiziert und eingestuft?
KRITIS-Betreiber werden anhand von Schwellenwerten identifiziert, die in der BSI-Kritisverordnung für jeden Sektor spezifisch festgelegt sind. Diese Schwellenwerte basieren auf Kriterien wie Versorgungsgrad, Marktanteil oder gesellschaftlicher Bedeutung. Unternehmen, die diese Werte überschreiten, gelten automatisch als KRITIS-Betreiber.
Die Schwellenwerte unterscheiden sich erheblich zwischen den Branchen. Ein Krankenhaus wird beispielsweise ab 30.000 vollstationären Behandlungsfällen pro Jahr als KRITIS eingestuft. Bei Elektrizitätsversorgern liegt die Grenze bei 500.000 angeschlossenen Letztverbrauchern. Flughäfen müssen mindestens 200.000 Flugbewegungen oder 10 Millionen Passagiere pro Jahr verzeichnen.
Wichtig ist, dass die Einstufung nicht nur von der Größe abhängt, sondern auch von der regionalen oder nationalen Bedeutung. Ein kleinerer regionaler Energieversorger kann durchaus KRITIS-relevant sein, wenn er in seinem Gebiet eine wichtige Versorgungsfunktion erfüllt. Das BSI führt eine Liste aller identifizierten KRITIS-Betreiber und informiert diese über ihre Einstufung.
Welche konkreten Anforderungen müssen KRITIS-Betreiber erfüllen?
KRITIS-Betreiber müssen angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme zu vermeiden. Dazu gehören die Implementierung eines Informationssicherheitsmanagementsystems, regelmäßige Sicherheitsüberprüfungen und die Meldung erheblicher Störungen an das BSI.
Konkret müssen KRITIS-Betreiber alle zwei Jahre einen Nachweis über die Erfüllung der Sicherheitsanforderungen erbringen. Dies erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nach anerkannten Standards wie ISO 27001. Die Unternehmen müssen außerdem eine Kontaktstelle für IT-Sicherheit benennen und diese dem BSI melden.
Bei erheblichen Störungen ihrer IT-Systeme sind KRITIS-Betreiber verpflichtet, das BSI unverzüglich zu informieren. Als erheblich gelten Störungen, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastrukturen führen können. Diese Meldepflicht hilft dabei, Bedrohungslagen frühzeitig zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.
Was passiert bei Verstößen gegen KRITIS-Anforderungen?
Verstöße gegen KRITIS-Anforderungen können mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Das BSI kann außerdem Anordnungen zur Beseitigung von Mängeln erlassen und im Extremfall sogar den Betrieb untersagen.
Die Bußgelder richten sich nach der Schwere und den Auswirkungen des Verstoßes. Besonders schwerwiegend werden Verstöße gegen die Meldepflicht bei Sicherheitsvorfällen bewertet. Aber auch das Fehlen angemessener Sicherheitsmaßnahmen oder die Verweigerung von Nachweisen kann zu erheblichen Sanktionen führen.
Neben den direkten Bußgeldern können Verstöße auch zu Reputationsschäden, Haftungsrisiken und zusätzlichen Kosten für nachträgliche Sicherheitsmaßnahmen führen. Viele KRITIS-Betreiber investieren deshalb präventiv in umfassende IT-Sicherheitskonzepte, um Verstöße von vornherein zu vermeiden.
Wie CCVOSSEL bei KRITIS-Anforderungen unterstützt
Wir unterstützen KRITIS-Betreiber dabei, alle gesetzlichen Anforderungen zu erfüllen und ihre kritischen Infrastrukturen optimal zu schützen. Als zertifizierte Experten mit langjähriger Erfahrung in KRITIS-Umgebungen bieten wir:
- Umfassende KRITIS-Compliance-Beratung und Gap-Analysen
- Entwicklung maßgeschneiderter Sicherheitskonzepte nach BSI-Standards
- Durchführung von Penetrationstests und Sicherheitsaudits
- 24/7-Security-Monitoring für kontinuierlichen Schutz
- Unterstützung bei der Vorbereitung auf BSI-Nachweise
Unsere Experten kennen die spezifischen Herausforderungen verschiedener KRITIS-Sektoren und entwickeln Lösungen, die sowohl den gesetzlichen Anforderungen entsprechen als auch praktisch umsetzbar sind. Kontaktieren Sie uns, um zu erfahren, wie wir Ihr Unternehmen bei der KRITIS-Compliance unterstützen können.