KRITIS Prüfung

KRITIS Prüfung

IT-Sicherheit für Betreiber kritischer Infrastrukturen

Um die Sicherheit von Gesellschaft und Wirtschaft zu gewährleisten, sind Betreiber kritischer Infrastrukturen in Deutschland durch das IT-Sicherheitsgesetz (IT-SiG) in der 2021 novellierten Version 2.0 und die entsprechend aktualisierte KRITIS-Verordnung (KritisV) verpflichtet, ein jetzt erweitertes Mindestsicherheitsniveau umzusetzen, nachzuweisen und verschärfte Meldepflichten einzuhalten. Unsere erfahrenen KRITIS-Prüfer überprüfen und bewerten das aktuelle Schutz- und Sicherheitsniveau Ihrer IT-Infrastruktur nach den in einer sogenannten Prüfgrundlage zuvor festgelegten transparenten Kriterien.

Ihre Vorteile einer KRITIS - Prüfung

  • Erfüllung aktueller gesetzlicher Anforderungen, wie z.B. aus dem IT-Sicherheitsgesetz 2.0
  • Vermeidung von Geldbußen in Höhe von bis zu 20 Mio. Euro durch eventuelle Verstöße
  • Verbesserung des Schutz- und Sicherheitsniveaus durch regelmäßige unabhängige Überprüfungen unterstützen
  • Wirksame Informationssicherheit nach gültigen Normen oder Regelwerken wie z.B. der ISO/IEC 27001 oder auch branchenspezifischen Sicherheitsstandards (B3S)
  • Professionelle und effiziente Durchführung von KRITIS-Prüfungen durch erfahrene und entsprechend zugelassene KRITIS-Prüfer

Schutz kritischer Infrastrukturen verlässlich umgesetzt

Infrastrukturen werden als kritisch eingestuft, wenn Einrichtungen, Anlagen oder Teile davon aufgrund von Vernetzungsgröße und -grad eine große Bedeutung für das staatliche Gemeinwesen haben und bei deren Ausfall oder Beeinträchtigung erhebliche VersorgungseInfrastrukturen werden als kritisch eingestuft, wenn Einrichtungen, Anlagen oder Teile davon aufgrungpässe, Einschränkungen der öffentlichen Sicherheit oder andere dramatische Folgen drohen. Die 4. Änderungsverordnung der BSI-Kritis-verordnung ist am 1.1.24 in Kraft getreten. In der KritisV ist definiert, (welche Anlagen und Betreiber zur kritischen Infrastruktur)[https://www.gesetze-im-internet.de/bsi-kritisv/anhang_2.html] gehören und welche Schwellenwerte für die Einstufung gelten. Der Entwurf der NIS2-Umsetzung von November 2024 entält in Art. 8 eine geänderte Fassung der bisherigen KritisV für NIS2. Mit NIS2 wird möglicherweise keine neue Rechtsverordnung zur Bestimmung kritischer Anlagen erlassen, sondern die bisherige angepasst.

KRITIS-Betreiber sind dazu verpflichtet:

  • eine Kontaktstelle zu benennen (§ 8b Abs. 3 BSIG)
  • Informationstechnisch relevante Störungen unverzüglich zu melden (§ 8b Abs. 4 BSIG)
  • den “Stand der Technik” bei der Umsetzung von Sicherheitsmaßnahmen einhalten (§8a Abs.1 Satz. 2 BSIG).
  • und dies im zweijährigen Turnus gegenüber dem BSI nachzuweisen (§ 8a Abs. 3 BSIG).

Es muss vom Betreiber eine sogenannte Prüfgrundlage erstellt werden, die mit dem Prüfdienstleister später abzustimmen ist. Diese soll aus verschiedenen Quellen, Normen und Regelwerken bestehen, z.B. der ISO 27001 oder auch eines Branchenspezifischen Sicherheitsstandards (B3S). Unternehmen müssen die Ergebnisse an das Bundesamt für Sicherheit in der Informationstechnik übermitteln. Sollten Sicherheitsmängel auftreten, kann das BSI deren Beseitigung verlangen.

Ablauf der KRITIS Prüfung

Die zentrust bietet KRITIS-Prüfungen für ausgewählte Branchen an als Nachweis zur Einhaltung gesetzlicher Vorgaben. Dafür müssen Sie sich als Betreiber kritischer Infrastrukturen beim BSI melden und registrieren. In Ihrem Unternehmen sollten Sie ein den Anforderungen entsprechendes Niveau für Cyber Security und IT-Sicherheit umgesetzt haben. Dazu gehören technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik zum Schutz Ihrer IT- und OT-Infrastruktur sowie auch der Einsatz von Systemen zur Angriffserkennung (SzA). Eine KRITIS-Prüfung durch unsere Prüfer erfolgt in 6 Schritten:

  1. Prüfungsvorbereitung, inklusive der Wahl der Prüfungsgrundlage sowie der Prüfung des Geltungsbereichs
  2. Erstellung des Prüfplans
  3. Dokumentationsprüfung
  4. Vor-Ort-Prüfung
  5. Nachbereitung der Vor-Ort-Prüfung
  6. Erstellung des Prüfberichts und der Mängelliste

Häufig gestellte Fragen

Wofür steht KRITIS?

KRITIS steht für „kritische Infrastrukturen“ und bezeichnet alle Infrastrukturen, deren Einrichtungen, Anlagen oder Teile aufgrund von Vernetzungsgröße und -grad eine hohe Bedeutung für das staatliche Gemeinwesen haben und bei deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe, Einschränkungen der öffentlichen Sicherheit oder andere dramatische Folgen drohen.

Was ist die KRITIS-Verordnung?

Die KRITIS-Verordnung basiert auf dem IT-Sicherheitsgesetz (IT-SiG) von 2015, das 2021 novelliert wurde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ergänzte und erweiterte die Verordnung, wonach betroffene Unternehmen alle zwei Jahre den Nachweis erbringen müssen, dass sie die geforderten Sicherheitsanforderungen erfüllen.

Welche Sektoren sind von der KRITIS-Verordnung betroffen?

Zu den betroffenen Sektoren gehören: Energie, IT und Telekommunikation, Ernährung, Wasser/Abwasser, Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen, Entsorgung von Siedlungsabfällen, Unternehmen im besonderen öffentlichen Interesse sowie Medien und Kultur.

Welche Ziele verfolgt die KRITIS-Prüfung?

Ziel ist die Aufrechterhaltung zwingend notwendiger Dienstleistungen und die Verbesserung der Informationssicherheit betroffener Unternehmen. Die regelmäßige Überprüfung im Zweijahresrhythmus soll das Schutzniveau erhöhen und die Gesellschaft vor massiven Schäden durch Cyberangriffe schützen.

Was bedeutet „Stand der Technik“ und wer legt ihn fest?

Der „Stand der Technik“ beschreibt Maßnahmen, Verfahren und Betriebsweisen, die dem neuesten und in der Praxis bewährten technischen Niveau entsprechen. Branchenspezifische Sicherheitsstandards (B3S) schlagen konkrete Vorgaben vor, die durch das BSI geprüft und veröffentlicht werden. Auch Fachverbände wie TeleTrusT definieren ergänzende Orientierungspunkte.

Welche Vorteile bringt die KRITIS-Prüfung meinem Unternehmen?
  • Unabhängige Überprüfung nach gültigen Normen und B3S-Standards
  • Effizienzsteigerung und Kostenminimierung durch klare Prozesse
  • Identifizierung und Beseitigung von Schwachstellen
  • Höhere Vertrauenswürdigkeit bei Partnern und Kunden
  • Wettbewerbsvorteil bei Ausschreibungen
  • BSI-konformer Nachweis über Erfüllung der KRITIS-Anforderungen
  • Vermeidung von Bußgeldern durch Compliance
Ist eine ISO 27001-Zertifizierung ausreichend?

Nein. Eine ISO 27001-Zertifizierung kann als Grundlage dienen, deckt aber nicht automatisch den gesamten Scope kritischer Infrastrukturen ab. Eine spezielle Prüfgrundlage gemäß § 8a (3) BSIG muss definiert werden – z. B. auf Basis von Normen, Regelwerken oder einem branchenspezifischen Sicherheitsstandard (B3S).

Wie läuft eine KRITIS-Prüfung konkret ab?
  1. Prüfungsvorbereitung (Wahl der Prüfgrundlage, Scope-Definition)
  2. Erstellung des Prüfplans
  3. Dokumentationsprüfung
  4. Vor-Ort-Prüfung
  5. Nachbereitung und Auswertung
  6. Erstellung des Prüfberichts und Mängelliste
Wie lange ist der KRITIS-Nachweis gültig?

Der beim BSI eingereichte Nachweis gilt zwei Jahre. Vor Ablauf dieser Frist ist eine erneute Prüfung und Einreichung erforderlich.

Was änderte sich mit der 4. Novellierung der KritisV?

Mit dem IT-Sicherheitskatalog 2.0 (2021) wurden Schwellenwerte in vielen Sektoren gesenkt und Definitionen präzisiert. Ab 1. April 2024 haben Unternehmen zwei Jahre Zeit, die gesetzlichen Maßnahmen nachzuweisen.