KRITIS-Compliance-Prüfung und Umsetzung für Betreiber

KRITIS-Compliance-Prüfung und Umsetzung für Betreiber

## KRITIS-Compliance: IT-Sicherheit für Betreiber kritischer Infrastrukturen

Um die Sicherheit von Gesellschaft und Wirtschaft zu gewährleisten, sind Betreiber kritischer Infrastrukturen in Deutschland durch das IT-Sicherheitsgesetz (IT-SiG) in der 2021 novellierten Version 2.0 und die entsprechend aktualisierte KRITIS-Verordnung (KritisV) verpflichtet, ein jetzt erweitertes Mindestsicherheitsniveau umzusetzen, nachzuweisen und verschärfte Meldepflichten einzuhalten. Unsere erfahrenen KRITIS-Prüfer überprüfen und bewerten das aktuelle Schutz- und Sicherheitsniveau Ihrer IT-Infrastruktur nach den in einer sogenannten Prüfgrundlage zuvor festgelegten transparenten Kriterien.

Ihre Vorteile einer KRITIS-Prüfung

  • Erfüllung aktueller gesetzlicher Anforderungen, wie z.B. aus dem IT-Sicherheitsgesetz 2.0
  • Vermeidung von Geldbußen in Höhe von bis zu 20 Mio. Euro durch eventuelle Verstöße
  • Verbesserung des Schutz- und Sicherheitsniveaus durch regelmäßige unabhängige Überprüfungen unterstützen
  • Wirksame Informationssicherheit nach gültigen Normen oder Regelwerken wie z.B. der ISO/IEC 27001 oder auch branchenspezifischen Sicherheitsstandards (B3S)
  • Professionelle und effiziente Durchführung von KRITIS-Prüfungen durch erfahrene und entsprechend zugelassene KRITIS-Prüfer

Schutz kritischer Infrastrukturen verlässlich umgesetzt

Infrastrukturen gelten als kritisch, wenn Einrichtungen, Anlagen oder Teile davon aufgrund von Größe und Vernetzungsgrad eine besondere Bedeutung für das Gemeinwesen haben. Bei Ausfall oder Beeinträchtigung drohen erhebliche Versorgungsengpässe, Einschränkungen der öffentlichen Sicherheit oder andere gravierende Folgen.

Die 4. Änderungsverordnung der BSI-Kritisverordnung ist am 1. Januar 2024 in Kraft getreten. In der KritisV ist definiert, welche Anlagen und Betreiber zur kritischen Infrastruktur gehören und welche Schwellenwerte gelten. Der NIS2-Umsetzungsentwurf (11/2024) sieht Änderungen an der KritisV vor.

KRITIS-Betreiber sind u. a. verpflichtet:

  • eine Kontaktstelle zu benennen (§ 8b Abs. 3 BSIG)
  • IT-bezogene Störungen unverzüglich zu melden (§ 8b Abs. 4 BSIG)
  • den “Stand der Technik” einzuhalten (§ 8a Abs. 1 S. 2 BSIG)
  • die Erfüllung der Anforderungen im Zweijahresrhythmus nachzuweisen (§ 8a Abs. 3 BSIG)

Es ist eine Prüfgrundlage zu erstellen und mit dem Prüfdienstleister abzustimmen. Sie basiert auf anerkannten Normen/Regelwerken, z. B. ISO/IEC 27001 oder einem Branchenspezifischen Sicherheitsstandard (B3S). Die Ergebnisse sind dem BSI zu übermitteln; bei Mängeln kann das BSI deren Beseitigung anordnen.

Ablauf der KRITIS-Prüfung: in 6 Schritten

Die zentrust bietet KRITIS-Prüfungen für ausgewählte Branchen an als Nachweis zur Einhaltung gesetzlicher Vorgaben. Dafür müssen Sie sich als Betreiber kritischer Infrastrukturen beim BSI melden und registrieren. In Ihrem Unternehmen sollten Sie ein den Anforderungen entsprechendes Niveau für Cyber Security und IT-Sicherheit umgesetzt haben. Dazu gehören technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik zum Schutz Ihrer IT- und OT-Infrastruktur sowie auch der Einsatz von Systemen zur Angriffserkennung (SzA). Eine KRITIS-Prüfung durch unsere Prüfer erfolgt in 6 Schritten:

  1. Prüfungsvorbereitung, inklusive der Wahl der Prüfungsgrundlage sowie der Prüfung des Geltungsbereichs
  2. Erstellung des Prüfplans
  3. Dokumentationsprüfung
  4. Vor-Ort-Prüfung
  5. Nachbereitung der Vor-Ort-Prüfung
  6. Erstellung des Prüfberichts und der Mängelliste

Häufig gestellte Fragen

Wofür steht KRITIS?

KRITIS steht für „kritische Infrastrukturen“ und bezeichnet alle Infrastrukturen, deren Einrichtungen, Anlagen oder Teile aufgrund von Vernetzungsgröße und -grad eine hohe Bedeutung für das staatliche Gemeinwesen haben und bei deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe, Einschränkungen der öffentlichen Sicherheit oder andere dramatische Folgen drohen.

Was ist die KRITIS-Verordnung?

Die KRITIS-Verordnung basiert auf dem IT-Sicherheitsgesetz (IT-SiG) von 2015, das 2021 novelliert wurde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ergänzte und erweiterte die Verordnung, wonach betroffene Unternehmen alle zwei Jahre den Nachweis erbringen müssen, dass sie die geforderten Sicherheitsanforderungen erfüllen.

Welche Sektoren sind von der KRITIS-Verordnung betroffen?

Zu den betroffenen Sektoren gehören: Energie, IT und Telekommunikation, Ernährung, Wasser/Abwasser, Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen, Entsorgung von Siedlungsabfällen, Unternehmen im besonderen öffentlichen Interesse sowie Medien und Kultur.

Welche Ziele verfolgt die KRITIS-Prüfung?

Ziel ist die Aufrechterhaltung zwingend notwendiger Dienstleistungen und die Verbesserung der Informationssicherheit betroffener Unternehmen. Die regelmäßige Überprüfung im Zweijahresrhythmus soll das Schutzniveau erhöhen und die Gesellschaft vor massiven Schäden durch Cyberangriffe schützen.

Was bedeutet „Stand der Technik“ und wer legt ihn fest?

Der „Stand der Technik“ beschreibt Maßnahmen, Verfahren und Betriebsweisen, die dem neuesten und in der Praxis bewährten technischen Niveau entsprechen. Branchenspezifische Sicherheitsstandards (B3S) schlagen konkrete Vorgaben vor, die durch das BSI geprüft und veröffentlicht werden. Auch Fachverbände wie TeleTrusT definieren ergänzende Orientierungspunkte.

Welche Vorteile bringt die KRITIS-Prüfung meinem Unternehmen?
  • Unabhängige Überprüfung nach gültigen Normen und B3S-Standards
  • Effizienzsteigerung und Kostenminimierung durch klare Prozesse
  • Identifizierung und Beseitigung von Schwachstellen
  • Höhere Vertrauenswürdigkeit bei Partnern und Kunden
  • Wettbewerbsvorteil bei Ausschreibungen
  • BSI-konformer Nachweis über Erfüllung der KRITIS-Anforderungen
  • Vermeidung von Bußgeldern durch Compliance
Ist eine ISO 27001-Zertifizierung ausreichend?

Nein. Eine ISO 27001-Zertifizierung kann als Grundlage dienen, deckt aber nicht automatisch den gesamten Scope kritischer Infrastrukturen ab. Eine spezielle Prüfgrundlage gemäß § 8a (3) BSIG muss definiert werden, z. B. auf Basis von Normen, Regelwerken oder einem branchenspezifischen Sicherheitsstandard (B3S).

Wie läuft eine KRITIS-Prüfung konkret ab?
  1. Prüfungsvorbereitung (Wahl der Prüfgrundlage, Scope-Definition)
  2. Erstellung des Prüfplans
  3. Dokumentationsprüfung
  4. Vor-Ort-Prüfung
  5. Nachbereitung und Auswertung
  6. Erstellung des Prüfberichts und Mängelliste
Wie lange ist der KRITIS-Nachweis gültig?

Der beim BSI eingereichte Nachweis gilt zwei Jahre. Vor Ablauf dieser Frist ist eine erneute Prüfung und Einreichung erforderlich.

Was änderte sich mit der 4. Novellierung der KritisV?

Mit dem IT-Sicherheitskatalog 2.0 (2021) wurden Schwellenwerte in vielen Sektoren gesenkt und Definitionen präzisiert. Ab 1. April 2024 haben Unternehmen zwei Jahre Zeit, die gesetzlichen Maßnahmen nachzuweisen.