Unternehmen, welche kritische Infrastrukturen (KRITIS) betreiben, sind durch das IT-Sicherheitsgesetz (IT-SiG) dazu verpflichtet, die für die Erbringung ihrer wichtigsten Dienste erforderliche IT-Infrastruktur nach dem Stand der Technik angemessen abzusichern und diese Sicherheit alle 2 Jahre überprüfen zu lassen. Zu den kritischen Infrastrukturen zählen alle Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Wir beraten und unterstützen KRITIS-Betreiber hinsichtlich der Umsetzung der erforderlichen Maßnahmen. Des Weiteren können wir KRITIS-Betreiber nach § 8a BSIG prüfen.

KRITIS Sektoren und Branchen

Die kritischen Infrastrukturen sind, durch Bund und Länder abgestimmt, in die folgenden 9 Sektoren und 31 Brachen untergliedert:
  • Energie
    Elektrizität, Gas, Mineralöl, Fernwärme
  • Gesundheit
    Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore
  • Staat und Verwaltung
    Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/Rettungswesen einschließlich Katastrophenschutz
  • Ernährung
    Ernährungswirtschaft, Lebensmittelhandel
  • Transport und Verkehr
    Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik
  • Finanz- und Versicherungswesen
    Banken, Börsen, Versicherungen, Finanzdienstleister
  • Informationstechnik und Telekommunikation
    Telekommunikation, Informationstechnik
  • Medien und Kultur
    Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke
  • Wasser
    öffentliche Wasserversorgung, öffentliche Abwasserbeseitigung

Gefahren und Interdependenzen für kritische Infrastrukturen

Die folgende Auflistung gibt einen Überblick über unterschiedliche Gefahren, die Kritische Infrastrukturen bedrohen können:
  • Stürme, Tornados
  • Extremniederschläge, Hochwasser
  • Dürren
  • Erdbeben
  • Epidemien/Pandemien
  • Unfälle
  • Systemversagen
  • Sabotage, Schadprogramme
  • Terrorismus
  • Krieg

Durch Interdependenzen (Abhängigkeiten zwischen einzelnen Sektoren oder Branchen) wird das Risiko von Ausfällen noch verstärkt. Schnell kommt es hier zu einem Dominoeffekt und der Ausfall in einem Sektor führt zu Ausfällen in anderen Sektoren.

Branchenspezifische Sicherheitsstandards (B3S)

Laut IT-Sicherheitsgesetz können Branchen und deren Fachverbände zur Festlegung des „Stand der Technik“ sogenannte branchenspezifische Sicherheitsstandards (B3S) erarbeiten, welche bei Eignung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt werden. Die Erstellung eines B3S ist für eine Branche die Chance, ausgehend von der eigenen Expertise selber Vorgaben zum „Stand der Technik“ zu formulieren. Ein vom BSI anerkannter B3S gibt den Betreibern kritischer Dienstleistungen (kDL) Rechtssicherheit zum „Stand der Technik“, welcher bei einem Audit verlangt und überprüft wird.

Sobald ein B3S vom BSI offiziell anerkannt wurde, können sich Betreiber der jeweiligen Branchen nach diesem B3S auditieren lassen und somit gegenüber dem BSI den Nachweis erbringen, dass Sie den Anforderungen des § 8a BSI-Gesetz genügen.

Wir erfüllen die Anforderungen, die vom BSI in der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG definiert wurden, um als prüfende Stelle geeignet zu sein.

Weiterführende Links:

Umsetzung der Anforderungen

KRITIS-Betreiber müssen zur Umsetzung der Anforderungen folgendes durchführen:
  • Benennung einer Kontaktstelle für die betriebenen Kritischen Infrastrukturen beim BSI (§ 8b (3) BSIG)
  • Erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dem BSI melden (§ 8b (4) BSIG)
  • Angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten oder Prozesse treffen (§ 8a (1) BSIG)
  • Gegenüber dem BSI die Umsetzung der o.g. Vorkehrungen nachweisen (§ 8a (3) BSIG)
  • Lageprodukte (insbesondere Warnungen) des BSI zur Sicherheit in der IT Kritischer Infrastrukturen empfangen (§ 8b (2) BSIG)

Haben Sie Interesse an Beratung & Unterstützung zum Thema KRITIS?

Dann nehmen Sie jetzt Kontakt mit uns auf. Sehr gerne beantworten wir Ihre offenen Fragen zum Thema KRITIS und erstellen Ihnen ein unverbindliches Angebot für ihr Vorhaben: Wir freuen uns auf Ihre Anfrage!