Sicherheit und Stabilität kritischer Infrastrukturen
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen, die für das Funktionieren des staatlichen Gemeinwesens besonders wichtig sind. Wenn sie ausfallen oder gestört werden, könnten langfristige Versorgungsengpässe, erhebliche Beeinträchtigungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen auftreten.
Eine KRITIS Prüfung nach § 8a (3) BSIG bietet somit nicht nur den Betreibern kritischer Infrastruktur den Vorteil Schwachstellen frühzeitig zu erkennen, um ihre Sicherheitsmaßnahmen zu verbessern, sondern trägt auch zur Versorgungssicherheit des Gemeinwesens bei.
Die folgenden Sektoren gehören zu den kritischen Infrastrukturen.
KRITIS-Sektoren
Die Sektoren Staat und Verwaltung und Medien und Kultur werden nicht vom BSI reguliert, für alle anderen Sektoren gelten bestimmte Schwellenwerte.
Vorteile einer KRITIS-Prüfung
Sicherheit
Sie erkennen Schwachstellen und können diese schnell beheben, was die Sicherheit Ihrer Einrichtung erhöht.
Resilienz
Sie sind in der Lage, Schäden zu minimieren, flexibel auf Veränderungen zu reagieren und Ihre Funktionsfähigkeit aufrechtzuerhalten.
Vertrauen
Hohe Standards bei Sicherheit, Zuverlässigkeit und Schutz signalisieren Kunden, Partnern und Behörden, dass Ihre Einrichtung verantwortungsvoll handelt.
Compliance
Sie erfüllen die gesetzlichen Anforderungen und erhalten den Nachweis über die Umsetzung des aktuellen Standes der Technik bezogen auf die Umsetzung der Informationssicherheit in Ihrer Einrichtung.
Einrichtungen, Anlagen oder Teile davon, die durch das Erreichen oder Überschreiten von Schwellenwerten einen bestimmten Versorgungsgrad erreicht haben sind KRITIS pflichtig. Die Schwellenwerte und ihre jeweilige Berechnungsformel sind in den Anhängen der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) zu finden.
Vor der Prüfung muss das Fälligkeitsdatum für die Einreichung der Nachweisdokumente beim BSI ermittelt werden. Das Fälligkeitsdatum wird vom BSI bei der Registrierung der KRITIS-pflichtigen Anlage ausgegeben.
Zudem muss der Geltungsbereich und die anzuwendende Prüfgrundlage festgelegt werden. Der Aufwand der KRITIS-Prüfung basiert unter anderem auf der Größe und Komplexität des Geltungsbereichs und auf dem Stand der Informationssicherheit der Einrichtung.
Die Prüfgrundlage legt fest, welche inhaltlichen Anforderungen die Betreiber erfüllen müssen und wie diese Anforderungen methodisch im Rahmen der Prüfung überprüft werden. Sie muss so gewählt werden, dass sie den Stand der Technik der Anlagen und die branchenspezifischen Aspekte abdeckt.
Als mögliche Grundlagen können die Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG oder der Katalog zur Konkretisierung der KRITIS-Anforderungen vom BSI angewendet werden. Um die branchenspezifischen Themen abzudecken kann z. B. der entsprechende branchenspezifische Sicherheitsstandard (B3S) herangezogen werden.
Die Prüfung wird von einem Team durchgeführt, da die zentralen Aspekte nach dem 4-Augen-Prinzip geprüft werden müssen. Um die Branchenkompetenz im Team abzudecken, kann der Einsatz eines bzw. einer Branchenexperten/Branchenexpertin zusätzlich nötig sein.
Zunächst findet eine Dokumentenprüfung statt, bei der sich da Prüfteam mit Hilfe der vorab bereitgestellten Dokumente auf die Vor-Ort-Prüfung vorbereitet und einen passenden Ablaufplan erstellt.
Anschließend findet die Vor-Ort-Prüfung nach der selbstgewählten Prüfgrundlage statt. In der Prüfung werden die Reife- und Umsetzungsgrade für sieben Themenbereiche ermittelt, welche den Fortschritt über die Jahre nachvollziehbar darstellen.
Anschließend wird der Prüfbericht erstellt, sowie die Mängelliste und die Nachweisdokumente, die beim BSI eingereicht werden müssen.
Die GUTcert war bei der Zertifizierung unseres ISMS nach ISO 27001 ein jederzeit kompetenter, fairer und zuverlässiger Partner und begleitete uns mit wertvollen Tipps und Empfehlungen auf dem Weg vom Voraudit über Stufe 1 bis zum erfolgreichen Zertifizierungsaudit.
Mario Konietzny, Stadtwerke Lutherstadt Eisleben GmbH
The audit process with GUTcerts was very smooth, and the professionality of the auditor was outstanding. Our Auditor was very helpful with his insights and comments on our ISMS and I would like to forward to you our management’s appreciation for his excellent work.
Im kürzlich veröffentlichen Informationspaket #nis2know: ISO/IEC 27001 des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt die Behörde die Vorteile einer Zertifizierung heraus und verdeutlicht gleichermaßen, dass weitere Schritte zur NIS-2-Konformität notwendig sind.
Trends und Entwicklungen in der Informationssicherheit – die GUTcert im Interview mit Arndt Schürg (Brandeis Digital GmbH)
Im zweiten Teil unserer Interview-Reihe dreht sich alles um die ISO 27001, das Managementsystem für Informationssicherheit (ISMS). Diesmal sprechen wir mit Arndt Schürg vom Beratungsunternehmen Brandeis Digital.
NIS-2: Bisher nur 11.500 registrierte Unternehmen – jetzt handeln und Risiken vermeiden
Die NIS-2 Registrierungsfrist ist verstrichen, aber viele Unternehmen haben es bisher versäumt, sich zu registrieren. Self Assessment und Schulungen helfen jetzt weiter.
Am 17.03.2026 ist nach langem Hin und Her das KRITIS-Dachgesetz in Kraft getreten. Es soll für mehr Resilienz der kritischen Infrastruktur sorgen – auch wenn noch vieles offen bleibt.
