Was ist die KRITIS-Verordnung (KRITISV)?

 

Die KRITIS-Verordnung (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) legt fest, welche Unternehmen in Deutschland als Betreiber Kritischer Infrastrukturen eingestuft werden.

KRITIS-Unternehmen sind für das Funktionieren des Gemeinwesens essenziell – ihr Ausfall hätte massive Folgen für Wirtschaft, Staat und Gesellschaft.

 

Die KRITISV definiert Schwellenwerte (z.B. nach Jahresleistung oder Nutzeranzahl), ab wann Unternehmen aus Sektoren wie

• Energie

• Wasser

• Ernährung

• Gesundheit

• Transport und Verkehr

• Informationstechnik und Telekommunikation

• Finanz- und Versicherungswesen

als Kritische Infrastruktur gelten.

 

Mit dem Inkrafttreten der KRITISV-Novelle und der geplanten KRITIS-Dachgesetzgebung wird der Kreis betroffener Unternehmen weiter ausgeweitet – auch kleinere Betreiber könnten künftig betroffen sein.

Warum müssen Unternehmen die KRITISV-Anforderungen erfüllen?

 

Rechtliche Verpflichtung:

KRITIS-Betreiber sind gesetzlich verpflichtet, ein hohes Schutzniveau ihrer IT-Systeme sicherzustellen. Die Anforderungen basieren auf dem BSI-Gesetz (BSIG) und müssen durch Nachweise (alle 2 Jahre) gegenüber dem BSI dokumentiert werden.

 

Haftungsrisiko:

Verantwortliche Führungskräfte haften bei grober Fahrlässigkeit oder Missachtung der gesetzlichen Pflichten. Bußgelder und Reputationsschäden können erheblich sein.

 

Sicherstellung der öffentlichen Versorgung:

Ein funktionierender Betrieb Kritischer Infrastrukturen ist grundlegend für die Gesellschaft – Unternehmen tragen eine besondere Verantwortung.

 

Anpassung an neue Bedrohungen:

Cyberangriffe auf Kritische Infrastrukturen nehmen stetig zu und können weitreichende Störungen verursachen – von Stromausfällen bis zu Versorgungsengpässen.

Wie setzt man die KRITISV-Anforderungen in der Praxis um?

 

Ein strukturierter Umsetzungsansatz könnte so aussehen:

 

1. Betroffenheitsanalyse

• Ermittlung, ob das eigene Unternehmen die Schwellenwerte überschreitet.

• Prüfung der Sektorklassifikation nach KRITISV.

 

2. Risikoanalyse und Schutzbedarfsermittlung

• Identifikation kritischer Systeme und Prozesse.

• Einschätzung möglicher Bedrohungen und Auswirkungen.

 

3. Aufbau eines Informationssicherheitsmanagementsystems (ISMS)

• Orientierung an etablierten Standards wie ISO 27001, branchenspezifischen Sicherheitsstandards (B3S) oder Vorgaben des BSI.

• Definition von Sicherheitsrichtlinien und technischen Maßnahmen.

 

4. Umsetzung technischer und organisatorischer Schutzmaßnahmen

• Zugangskontrollen, Verschlüsselung, Monitoring, Notfallmanagement.

• Sensibilisierung der Mitarbeiter durch Awareness-Programme.

 

5. Etablierung von Melde- und Reaktionsprozessen

• Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI.

• Vorbereitung auf Incident-Response-Szenarien.

 

6. Nachweisführung gegenüber dem BSI

• Durchführung regelmäßiger Sicherheitsaudits.

• Vorlage von Prüfberichten oder Sicherheitszertifikaten.