KRITIS-Anforderungen bezeichnen die gesetzlichen, technischen und organisatorischen Pflichten, denen Betreiber kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz und der BSI-Kritisverordnung unterliegen. Diese Anforderungen zielen darauf ab, die Funktionsfähigkeit versorgungskritischer Einrichtungen zu gewährleisten und vor Ausfällen, Cyberangriffen oder physischen Bedrohungen zu schützen.
DIN 77200-zertifiziert · KRITIS-Erfahrung · Bundesweit verfügbar
Die Anforderungen betreffen alle Betreiber, die nach der BSI-Kritisverordnung als kritische Infrastruktur eingestuft werden – also Einrichtungen, deren Ausfall erhebliche Versorgungsengpässe oder Störungen der öffentlichen Sicherheit zur Folge hätte. Die Einhaltung wird durch das Bundesamt für Sicherheit in der InformationstechnikSicherheit in der Informationstechnik (BSI) überwacht und kann bei Nichteinhaltung zu Bußgeldern führen.
Rechtliche Grundlagen der KRITIS-Anforderungen
Die rechtlichen Verpflichtungen für KRITIS-Betreiber ergeben sich aus mehreren Gesetzen und Verordnungen:
IT-Sicherheitsgesetz (IT-SiG): Das IT-Sicherheitsgesetz verpflichtet KRITIS-Betreiber zur Einhaltung eines angemessenen Stands der Technik bei der IT-Sicherheit, zur Registrierung beim BSI innerhalb von drei Monaten nach Überschreitung der Schwellenwerte sowie zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI binnen spätestens 24 Stunden nach Kenntniserlangung.
BSI-Kritisverordnung (BSI-KritisV): Die Verordnung definiert präzise Schwellenwerte für die neun KRITIS-Sektoren (Energie, Wasser, Ernährung, IT/Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur, Staat und Verwaltung) und legt fest, ab welchem Versorgungsgrad eine Anlage als kritische Infrastruktur gilt.
BSI-Gesetz (BSIG): Regelt die Befugnisse des BSI zur Überwachung, Beratung und Prüfung von KRITIS-Betreibern sowie die Sanktionsmöglichkeiten bei Verstößen gegen die Sicherheitsanforderungen.
Branchenspezifische Regelungen: Ergänzende Vorgaben existieren für einzelne Sektoren, beispielsweise EnWG für Energieversorger, WHG für Wasserwirtschaft oder KrWG für Entsorgungsunternehmen.
IT-Sicherheitsanforderungen im Detail
KRITIS-Betreiber müssen umfassende IT-Sicherheitsmaßnahmen implementieren und nachweisen:
Stand der Technik: Die eingesetzten IT-Systeme, insbesondere Steuerungs- und Prozessleitsysteme (SCADA), müssen dem aktuellen Stand der Technik entsprechen. Dies umfasst regelmäßige Sicherheitsupdates, Patch-Management, Netzwerksegmentierung und Zugangskontrollen.
Sicherheitsaudit alle zwei Jahre: KRITIS-Betreiber sind verpflichtet, mindestens alle zwei Jahre durch qualifizierte Prüfstellen (ISO 27001-zertifiziert) ein Sicherheitsaudit durchführen zu lassen. Der Prüfbericht muss dem BSI vorgelegt werden.
Meldepflichten bei Sicherheitsvorfällen: Erhebliche IT-Sicherheitsvorfälle – also Störungen, die zu einer Beeinträchtigung der Versorgung führen oder führen können – müssen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung an das BSI gemeldet werden. Die Meldung erfolgt über das BSI-Meldeportal.
Kontaktstelle zum BSI: Betreiber müssen eine zentrale Kontaktstelle benennen, die als Ansprechpartner für das BSI dient und sicherheitsrelevante Informationen empfängt.
Branchenspezifische Sicherheitsstandards (B3S): Für einzelne Sektoren existieren branchenspezifische Konkretisierungen der Mindeststandards, die von Branchenverbänden in Abstimmung mit dem BSI entwickelt wurden und als Orientierung für die Umsetzung dienen.
Physische Sicherheitsanforderungen
Neben IT-Sicherheit umfassen KRITIS-Anforderungen auch die physische Absicherung von Anlagen und Infrastrukturen:
Perimeterschutz und Zugangskontrollen: KRITIS-Einrichtungen müssen durch mehrstufige physische Sicherungsmaßnahmen geschützt werden. Dies umfasst Umzäunungen, Zugangskontrollen, Videoüberwachung und gegebenenfalls permanente Objektbewachung durch qualifiziertes Sicherheitspersonal.
Zutrittskontrollsysteme: Der Zutritt zu sensiblen Bereichen muss durch technische und organisatorische Maßnahmen kontrolliert werden, beispielsweise durch biometrische Authentifizierung, Transponder-Systeme oder Besuchermanagement mit Protokollierung.
Videoüberwachung und Alarmierung: Kritische Bereiche müssen durch Videoüberwachungssysteme überwacht werden. Bei Sicherheitsvorfällen müssen definierte Alarmierungs- und Eskalationsketten greifen, die eine schnelle Intervention ermöglichen.
Personalanforderungen: Sicherheitspersonal an KRITIS-Einrichtungen muss häufig über erweiterte Qualifikationen verfügen, insbesondere Zuverlässigkeitsüberprüfungen nach Luftsicherheitsgesetz (§ 7 LuftSiG) oder Atomgesetz (§ 12a AtG) bei besonders sensiblen Anlagen.
DIN 77200-Zertifizierung: Viele KRITIS-Betreiber fordern von beauftragten Sicherheitsdienstleistern eine Zertifizierung nach DIN 77200, dem höchsten Qualitätsstandard für Sicherungsdienstleistungen in Deutschland, um nachweisbare Qualität und Zuverlässigkeit sicherzustellen.
Organisatorische und dokumentarische Anforderungen
KRITIS-Betreiber müssen umfassende organisatorische Vorkehrungen treffen und dokumentieren:
Business Continuity Management (BCM): Notfall- und Krisenpläne müssen entwickelt, regelmäßig aktualisiert und durch Übungen getestet werden. Diese müssen auch den Ausfall kritischer Systeme oder Angriffe auf die Infrastruktur berücksichtigen.
Redundanzsysteme: Kritische Komponenten müssen redundant ausgelegt sein, um auch bei Teilausfällen die Versorgung aufrechtzuerhalten. Dies betrifft sowohl technische Systeme als auch Personalressourcen.
Dokumentationspflichten: Alle sicherheitsrelevanten Prozesse, Vorfälle und Maßnahmen müssen lückenlos dokumentiert werden. Diese Dokumentation dient sowohl der internen Nachvollziehbarkeit als auch dem Nachweis gegenüber Aufsichtsbehörden.
Schulungen und Sensibilisierung: Mitarbeiter müssen regelmäßig zu IT-Sicherheit, physischer Sicherheit und korrektem Verhalten bei Sicherheitsvorfällen geschult werden. Die Teilnahme ist zu dokumentieren.
Lieferantenmanagement: KRITIS-Betreiber müssen sicherstellen, dass auch beauftragte Dienstleister (IT-Dienstleister, Sicherheitsdienste, Wartungsunternehmen) angemessene Sicherheitsstandards einhalten und vertraglich zur Einhaltung von Sicherheitsanforderungen verpflichtet werden.
Prüfung und Nachweis der Anforderungserfüllung
Die Einhaltung der KRITIS-Anforderungen muss regelmäßig nachgewiesen und überprüft werden:
Alle zwei Jahre: Sicherheitsaudit durch qualifizierte Prüfstelle mit Vorlage des Prüfberichts beim BSI. Die Prüfstelle muss nach ISO 27001 akkreditiert sein und über branchenspezifische Expertise verfügen.
Alternative: Nachweis durch Zertifizierung nach ISO/IEC 27001 (Informationssicherheits-Managementsystem) in Verbindung mit branchenspezifischen Ergänzungen kann das Audit unter bestimmten Voraussetzungen ersetzen.
Selbstauskunft und Registrierung: Betreiber müssen sich beim BSI registrieren und bei Änderungen (z.B. neue Anlagen, Überschreitung von Schwellenwerten) unverzüglich aktualisierte Angaben übermitteln.
Anlassbezogene Prüfungen: Das BSI kann bei begründetem Verdacht auf Sicherheitsmängel oder nach schwerwiegenden Sicherheitsvorfällen anlassbezogene Prüfungen durchführen oder anordnen.
Sanktionen bei Nichteinhaltung
Verstöße gegen KRITIS-Anforderungen können erhebliche rechtliche und wirtschaftliche Konsequenzen nach sich ziehen:
Bußgelder: Das BSI kann bei Verstößen Bußgelder von bis zu 100.000 Euro verhängen, beispielsweise bei unterlassener Registrierung, fehlenden Sicherheitsaudits oder nicht gemeldeten Sicherheitsvorfällen.
Anordnungen und Auflagen: Das BSI kann konkrete Sicherheitsmaßnahmen anordnen und deren Umsetzung innerhalb festgelegter Fristen verlangen. Bei Nichtbefolgung drohen Zwangsgelder.
Reputationsschäden: Sicherheitsvorfälle bei KRITIS-Einrichtungen führen zu erheblicher medialer Aufmerksamkeit und können das Vertrauen von Kunden, Partnern und der Öffentlichkeit nachhaltig beschädigen.
Haftungsrisiken: Bei Versorgungsausfällen durch mangelhafte Sicherheitsvorkehrungen können zivilrechtliche Schadensersatzansprüche entstehen.
Abgrenzung zu verwandten Anforderungen
KRITIS-Anforderungen vs. allgemeine IT-Sicherheit: KRITIS-Anforderungen gehen deutlich über allgemeine IT-Sicherheitsstandards hinaus und beinhalten spezifische Meldepflichten, Auditanforderungen und behördliche Überwachung, die für normale Unternehmen nicht gelten.
KRITIS-Anforderungen vs. Datenschutz (DSGVO): Während die DSGVO primär den Schutz personenbezogener Daten regelt, fokussieren KRITIS-Anforderungen auf die Betriebssicherheit und Verfügbarkeit versorgungskritischer Systeme. Beide Regelungsrahmen bestehen parallel und müssen gemeinsam umgesetzt werden.
KRITIS-Anforderungen vs. ISO 27001: Die ISO 27001-Zertifizierung ist eine freiwillige internationale Norm für Informationssicherheit, während KRITIS-Anforderungen gesetzlich verpflichtend sind. Eine ISO 27001-Zertifizierung kann jedoch als Nachweis der Anforderungserfüllung dienen.
Praktische Umsetzung für Betreiber
Die Umsetzung der KRITIS-Anforderungen erfolgt typischerweise in mehreren Schritten:
Schritt 1: Statusfeststellung – Prüfung, ob die eigenen Anlagen die Schwellenwerte der BSI-KritisV überschreiten und somit Meldepflicht besteht.
Schritt 2: Registrierung beim BSI – Unverzügliche Anmeldung beim BSI mit Angabe der betroffenen Anlagen und Sektoren.
Schritt 3: Gap-Analyse – Bewertung der bestehenden Sicherheitsmaßnahmen im Vergleich zu den gesetzlichen Anforderungen durch interne oder externe Sicherheitsexperten.
Schritt 4: Maßnahmenplanung und Umsetzung – Entwicklung eines Umsetzungsplans für fehlende IT- und physische Sicherheitsmaßnahmen sowie organisatorische Prozesse.
Schritt 5: Erstaudit – Beauftragung einer qualifizierten Prüfstelle zur Durchführung des ersten Sicherheitsaudits.
Schritt 6: Kontinuierliche Verbesserung – Regelmäßige Überprüfung, Anpassung der Maßnahmen an neue Bedrohungen und Technologien sowie Durchführung wiederkehrender Audits.
Weiterführende Themen und Leistungen
Vertiefende Informationen zu KRITIS-relevanten Sicherheitsaspekten:
- KRITIS: Umfassende Definition, Sektoren und Schutzkonzepte für kritische Infrastrukturen
- IT-Sicherheitsgesetz: Detaillierte Darstellung der gesetzlichen Grundlagen und Pflichten
- Perimeterschutz: Physische Außensicherung als Bestandteil der KRITIS-Anforderungen
- Zuverlässigkeitsüberprüfung (ZÜP): Personalanforderungen für Sicherheitskräfte an KRITIS-Einrichtungen
Die KRITIS-Anforderungen stellen Betreiber kritischer Infrastrukturen vor umfassende Compliance-Pflichten, deren professionelle Umsetzung spezialisierte Expertise in IT-Sicherheit, physischer Sicherheit und organisatorischem Risikomanagement erfordert.