Sicherheit und Stabilität kritischer Infrastrukturen
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen, die für das Funktionieren des staatlichen Gemeinwesens besonders wichtig sind. Wenn sie ausfallen oder gestört werden, könnten langfristige Versorgungsengpässe, erhebliche Beeinträchtigungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen auftreten.
Eine KRITIS Prüfung nach § 8a (3) BSIG bietet somit nicht nur den Betreibern kritischer Infrastruktur den Vorteil Schwachstellen frühzeitig zu erkennen, um ihre Sicherheitsmaßnahmen zu verbessern, sondern trägt auch zur Versorgungssicherheit des Gemeinwesens bei.
Die folgenden Sektoren gehören zu den kritischen Infrastrukturen.
KRITIS-Sektoren
Die Sektoren Staat und Verwaltung und Medien und Kultur werden nicht vom BSI reguliert, für alle anderen Sektoren gelten bestimmte Schwellenwerte.
Vorteile einer KRITIS-Prüfung
Sicherheit
Sie erkennen Schwachstellen und können diese schnell beheben, was die Sicherheit Ihrer Einrichtung erhöht.
Resilienz
Sie sind in der Lage, Schäden zu minimieren, flexibel auf Veränderungen zu reagieren und Ihre Funktionsfähigkeit aufrechtzuerhalten.
Vertrauen
Hohe Standards bei Sicherheit, Zuverlässigkeit und Schutz signalisieren Kunden, Partnern und Behörden, dass Ihre Einrichtung verantwortungsvoll handelt.
Compliance
Sie erfüllen die gesetzlichen Anforderungen und erhalten den Nachweis über die Umsetzung des aktuellen Standes der Technik bezogen auf die Umsetzung der Informationssicherheit in Ihrer Einrichtung.
Einrichtungen, Anlagen oder Teile davon, die durch das Erreichen oder Überschreiten von Schwellenwerten einen bestimmten Versorgungsgrad erreicht haben sind KRITIS pflichtig. Die Schwellenwerte und ihre jeweilige Berechnungsformel sind in den Anhängen der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) zu finden.
Vor der Prüfung muss das Fälligkeitsdatum für die Einreichung der Nachweisdokumente beim BSI ermittelt werden. Das Fälligkeitsdatum wird vom BSI bei der Registrierung der KRITIS-pflichtigen Anlage ausgegeben.
Zudem muss der Geltungsbereich und die anzuwendende Prüfgrundlage festgelegt werden. Der Aufwand der KRITIS-Prüfung basiert unter anderem auf der Größe und Komplexität des Geltungsbereichs und auf dem Stand der Informationssicherheit der Einrichtung.
Die Prüfgrundlage legt fest, welche inhaltlichen Anforderungen die Betreiber erfüllen müssen und wie diese Anforderungen methodisch im Rahmen der Prüfung überprüft werden. Sie muss so gewählt werden, dass sie den Stand der Technik der Anlagen und die branchenspezifischen Aspekte abdeckt.
Als mögliche Grundlagen können die Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG oder der Katalog zur Konkretisierung der KRITIS-Anforderungen vom BSI angewendet werden. Um die branchenspezifischen Themen abzudecken kann z. B. der entsprechende branchenspezifische Sicherheitsstandard (B3S) herangezogen werden.
Die Prüfung wird von einem Team durchgeführt, da die zentralen Aspekte nach dem 4-Augen-Prinzip geprüft werden müssen. Um die Branchenkompetenz im Team abzudecken, kann der Einsatz eines bzw. einer Branchenexperten/Branchenexpertin zusätzlich nötig sein.
Zunächst findet eine Dokumentenprüfung statt, bei der sich da Prüfteam mit Hilfe der vorab bereitgestellten Dokumente auf die Vor-Ort-Prüfung vorbereitet und einen passenden Ablaufplan erstellt.
Anschließend findet die Vor-Ort-Prüfung nach der selbstgewählten Prüfgrundlage statt. In der Prüfung werden die Reife- und Umsetzungsgrade für sieben Themenbereiche ermittelt, welche den Fortschritt über die Jahre nachvollziehbar darstellen.
Anschließend wird der Prüfbericht erstellt, sowie die Mängelliste und die Nachweisdokumente, die beim BSI eingereicht werden müssen.
Die GUTcert war bei der Zertifizierung unseres ISMS nach ISO 27001 ein jederzeit kompetenter, fairer und zuverlässiger Partner und begleitete uns mit wertvollen Tipps und Empfehlungen auf dem Weg vom Voraudit über Stufe 1 bis zum erfolgreichen Zertifizierungsaudit.
Mario Konietzny, Stadtwerke Lutherstadt Eisleben GmbH
The audit process with GUTcerts was very smooth, and the professionality of the auditor was outstanding. Our Auditor was very helpful with his insights and comments on our ISMS and I would like to forward to you our management’s appreciation for his excellent work.
Aufgrund der bisher geringen Anzahl gibt das BSI NIS2-betroffenen Unternehmen erneut Zeit sich bis zum 31.07.2026 zu registrieren. In Zukunft könnten stärkere Sanktionen folgen.
ISO 27001: Wie Ihr ISMS Mehrwert schaffen und Aufwand senken kann
Das aktuelle ISO Journal 2026 zeigt: Ein strategisch geführtes ISMS ist kein Papiertiger, sondern ein starker Hebel für Marktzugang und operative Effizienz.
Umsetzung des EU AI Acts: Bundestag schafft nationalen Rechtsrahmen
Mit dem vom Bundestag beschlossenen Gesetz zur Durchführung des AI-Acts konkretisiert die Bundesregierung Regelungen für Entwicklung und Einsatz von KI.
NIS-2-Schulungspflicht: BSI aktualisiert Empfehlungen für Geschäftsleitungsschulungen
Das BSI hat nun eine aktualisierte Version seiner Empfehlungen zu Schulungen für Geschäftsleitungen nach dem novellierten BSI-Gesetz (BSIG) veröffentlicht.
