Die KRITIS Verortung betrifft wichtige Unternehmen aus diesen Branchen:

• Energie
• Wasser
• IT & TK
• Gesundheit
• Staat & Verwaltung
• Transport & Verkehr
• Finanz- & Versicherungswesen
• Entsorgung
• Ernährung
• Medien & Kulturen

Die Umsetzung der Sicherheitsmaßnahmen haben nach §8a BSIG bis zum 1. April 2022 zu erfolgen.

Bis zum 1. Mai 2023 muss die Umsetzung durch eine KRITIS-Prüfung nachweisen werden. Der Nachweis ist alle zwei Jahre erneut zu erbringen.

• 1. Identifizierung kritischer Infrastrukturen: Betreiber sind verpflichtet, ihre kritischen Infrastrukturen zu identifizieren und zu benennen.


• 2. Risikomanagement: Betreiber müssen Risikoanalysen durchführen, um potenzielle Bedrohungen und Schwachstellen zu identifizieren und entsprechende Maßnahmen zur Risikominderung zu ergreifen.


• 3. Sicherheitsmaßnahmen: Es werden konkrete Sicherheitsmaßnahmen gefordert, um die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken. Dazu gehören unter anderem technische und organisatorische Maßnahmen zum Schutz vor Cyberangriffen, physischen Angriffen und anderen Bedrohungen.


• 4. Meldewesen: Betreiber müssen sicherheitsrelevante Vorfälle und Störungen an die zuständigen Behörden melden.


• 5. Kooperation mit Behörden: Die Verordnung fordert eine enge Zusammenarbeit und Koordination zwischen den Betreibern kritischer Infrastrukturen und den zuständigen Behörden, um eine effektive Reaktion auf Bedrohungen und Störungen sicherzustellen.


• 6. Zertifizierung und Auditierung: In einigen Fällen können Betreiber dazu verpflichtet sein, ihre Sicherheitsmaßnahmen von unabhängigen Stellen zertifizieren zu lassen und regelmäßige Audits durchführen zu lassen, um die Einhaltung der KRITIS-Anforderungen zu überprüfen.

Diese Anforderungen und Pflichten können je nach Art der kritischen Infrastruktur und dem jeweiligen Sektor variieren.

• 1. Sicherstellung der Verfügbarkeit und Funktionsfähigkeit kritischer Infrastrukturen: Die Verordnung zielt darauf ab, sicherzustellen, dass wichtige Infrastrukturen, die für das Funktionieren der Gesellschaft unverzichtbar sind, gegen verschiedene Bedrohungen geschützt sind und im Falle von Störungen oder Angriffen schnell wiederhergestellt werden können.


• 2. Verbesserung der Resilienz: Die Verordnung soll die Widerstandsfähigkeit kritischer Infrastrukturen stärken, indem sie Unternehmen dazu verpflichtet, Risiken zu identifizieren, zu bewerten und angemessene Maßnahmen zur Risikominderung zu ergreifen.


• 3. Gewährleistung der nationalen Sicherheit: Ein weiteres Ziel ist es, die nationale Sicherheit zu erhöhen, indem kritische Infrastrukturen vor Bedrohungen wie Cyberangriffen, Naturkatastrophen oder terroristischen Aktivitäten geschützt werden.


• 4. Verbesserung der Koordination und Zusammenarbeit: Die Verordnung fördert die Koordination und Zusammenarbeit zwischen den Betreibern kritischer Infrastrukturen, Regierungsbehörden und anderen relevanten Akteuren, um eine effektive Reaktion auf Bedrohungen und Störungen zu gewährleisten.


• 5. Förderung von Sicherheitsmaßnahmen und Best Practices: Die KritisV soll Unternehmen dazu anregen, bewährte Sicherheitspraktiken zu implementieren und kontinuierlich ihre Sicherheitsmaßnahmen zu verbessern, um den sich ständig verändernden Bedrohungen und Risiken gerecht zu werden.

• 1. Risikoanalysen und -management: Unternehmen müssen regelmäßig Risikoanalysen durchführen, um potenzielle Bedrohungen und Schwachstellen zu identifizieren. Basierend auf diesen Analysen sollten sie geeignete Sicherheitsmaßnahmen entwickeln und implementieren, um Risiken zu minimieren und die Widerstandsfähigkeit ihrer Infrastrukturen zu erhöhen.


• 2. Technische Sicherheitsmaßnahmen: Unternehmen sollten technische Sicherheitsmaßnahmen implementieren, um ihre Infrastrukturen vor Cyberangriffen, physischen Bedrohungen und anderen Gefahren zu schützen. Dazu gehören unter anderem Firewalls, Intrusion Detection Systems, Verschlüsselungstechnologien, Zugangskontrollen und Sicherheitspatches.


• 3. Organisatorische Sicherheitsmaßnahmen: Neben technischen Maßnahmen sollten Unternehmen auch organisatorische Sicherheitsmaßnahmen umsetzen, wie z.B. Schulungen und Sensibilisierung der Mitarbeiter für Sicherheitsrisiken, Entwicklung und Umsetzung von Sicherheitsrichtlinien und -verfahren, Zugangsbeschränkungen und Überwachung von internen Systemen und Prozessen.


• 4. Notfallplanung und -management: Unternehmen sollten Notfallpläne entwickeln und implementieren, um auf Störungen oder Angriffe angemessen reagieren zu können. Dies kann die Einrichtung von Notfallteams, die regelmäßige Durchführung von Notfallübungen, die Sicherung von Backups und die Entwicklung von Kommunikationsplänen umfassen.


• 5. Zusammenarbeit und Koordination: Unternehmen sollten eng mit Regierungsbehörden, anderen Betreibern kritischer Infrastrukturen und relevanten Partnern zusammenarbeiten, um Informationen auszutauschen, Best Practices zu teilen und koordinierte Reaktionen auf Bedrohungen und Störungen zu ermöglichen.


• 6. Regelmäßige Überprüfung und Verbesserung: Die Sicherheitsmaßnahmen sollten regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie mit den sich ändernden Bedrohungen und Technologien Schritt halten. Unternehmen sollten kontinuierlich ihre Sicherheitsstrategien evaluieren und verbessern, um die Widerstandsfähigkeit ihrer kritischen Infrastrukturen zu gewährleisten.

Indem Unternehmen diese Maßnahmen umsetzen und kontinuierlich verbessern, können sie dazu beitragen, die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen gemäß der KRITIS-Verordnung zu gewährleisten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spielt eine zentrale Rolle im Zusammenhang mit der KRITIS-Verordnung (KritisV) in Deutschland. Hier sind einige der Hauptaufgaben und Rollen des BSI im Zusammenhang mit der KRITIS-Verordnung

• 1. Entwicklung von Sicherheitsstandards und -richtlinien: Das BSI entwickelt Sicherheitsstandards, -richtlinien und -empfehlungen für Betreiber kritischer Infrastrukturen, um ihnen bei der Umsetzung der Anforderungen der KRITIS-Verordnung zu unterstützen. Diese Standards dienen als Leitfaden für die Implementierung von Sicherheitsmaßnahmen und -verfahren.


• 2. Klassifizierung von kritischen Infrastrukturen: Das BSI unterstützt bei der Klassifizierung von kritischen Infrastrukturen und definiert Kriterien für die Einstufung von Infrastrukturen als kritisch. Auf dieser Basis werden Sektoren und Unternehmen identifiziert, die unter die KRITIS-Verordnung fallen.


• 3. Beratung und Unterstützung von Betreibern: Das BSI bietet Beratung und Unterstützung für Betreiber kritischer Infrastrukturen an, um ihnen bei der Umsetzung der Sicherheitsanforderungen gemäß der KRITIS-Verordnung zu helfen. Dies umfasst beispielsweise Schulungen, Workshops und Informationsveranstaltungen


• 4. Überwachung und Durchsetzung: Das BSI überwacht die Einhaltung der KRITIS-Verordnung und kann bei Verstößen gegen die Sicherheitsanforderungen entsprechende Maßnahmen ergreifen. Dazu gehört auch die Durchführung von Audits und Prüfungen sowie die Zusammenarbeit mit anderen Behörden bei der Durchsetzung der Verordnung.


• 5. Information und Kommunikation: Das BSI informiert die Öffentlichkeit, Betreiber kritischer Infrastrukturen und andere relevante Akteure über aktuelle Bedrohungen, Sicherheitsmaßnahmen und bewährte Praktiken im Zusammenhang mit der Sicherheit kritischer Infrastrukturen.

Insgesamt spielt das BSI eine entscheidende Rolle bei der Gewährleistung der Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen in Deutschland durch die Entwicklung von Standards, die Beratung und Unterstützung von Betreibern sowie die Überwachung und Durchsetzung der KRITIS-Verordnung.

Bei Nichteinhaltung der KRITIS-Vorgaben können Unternehmen verschiedene Sanktionen und Konsequenzen drohen, die je nach Schwere des Verstoßes und den nationalen Gesetzen variieren können. Hier sind einige mögliche Sanktionen..

• Bußgelder: Unternehmen können mit Bußgeldern belegt werden, wenn sie gegen die Sicherheitsanforderungen der KRITIS-Verordnung verstoßen. Die Höhe der Bußgelder kann je nach Art und Schwere des Verstoßes variieren und kann beträchtlich sein.


• Strafrechtliche Verfolgung: In schwerwiegenden Fällen von grober Fahrlässigkeit oder vorsätzlichen Verstößen können strafrechtliche Ermittlungen gegen Unternehmen und ihre Verantwortlichen eingeleitet werden. Dies kann zu Geldstrafen, Haftstrafen oder anderen strafrechtlichen Sanktionen führen.


• Zivilrechtliche Haftung: Unternehmen können auch zivilrechtlich haftbar gemacht werden, wenn durch ihre Fahrlässigkeit oder Verstöße gegen die KRITIS-Vorgaben Schäden für Dritte entstehen. Dies kann zu Schadensersatzforderungen und anderen rechtlichen Konsequenzen führen.


• Betriebseinschränkungen: In bestimmten Fällen können Unternehmen dazu verpflichtet werden, ihre Betriebe einzuschränken oder vorübergehend zu schließen, wenn sie die Sicherheitsanforderungen der KRITIS-Verordnung nicht erfüllen und dadurch eine ernsthafte Gefahr für die öffentliche Sicherheit oder die kritische Infrastruktur darstellen.


• Rufschädigung und Reputationsverlust: Verstöße gegen die KRITIS-Vorgaben können zu erheblichem Rufschaden und Reputationsverlust für Unternehmen führen, insbesondere wenn sie zu Sicherheitsvorfällen oder -ausfällen führen, die öffentlich bekannt werden.

Es ist wichtig für Unternehmen, die KRITIS-Vorgaben genau zu beachten und angemessene Sicherheitsmaßnahmen zu ergreifen, um diese Sanktionen zu vermeiden und die Sicherheit kritischer Infrastrukturen zu gewährleisten.

Beispiele für Best Practices und Leitlinien für die Umsetzung

• Leitfaden des Bundesamts für Sicherheit in der Informationstechnik (BSI): Das BSI veröffentlicht regelmäßig Leitfäden und Empfehlungen für die Sicherheit kritischer Infrastrukturen. Diese Materialien bieten praktische Ratschläge und Best Practices zur Umsetzung der KRITIS-Anforderungen, einschließlich technischer und organisatorischer Maßnahmen.


• Branchenspezifische Leitlinien: In einigen Branchen gibt es spezifische Organisationen oder Verbände, die Leitlinien und Best Practices für die Sicherheit kritischer Infrastrukturen bereitstellen. Diese können Informationen enthalten, die auf die spezifischen Anforderungen und Herausforderungen bestimmter Sektoren zugeschnitten sind.


• Internationale Standards und Frameworks: Internationale Organisationen wie die Internationale Organisation für Normung (ISO) und das Internationale Elektrotechnische Komitee (IEC) haben Standards und Frameworks entwickelt, die relevante Richtlinien für die Sicherheit kritischer Infrastrukturen enthalten können. Beispiele hierfür sind die ISO/IEC 27001 für Informationssicherheitsmanagement und die ISO 22301 für Business Continuity Management.


• Sicherheitsberater und Experten: Sicherheitsberater und Experten können wertvolle Einblicke und Empfehlungen für die Umsetzung der KRITIS-Anforderungen bieten. Diese Fachleute verfügen über Fachwissen und Erfahrung in der Sicherheit kritischer Infrastrukturen und können maßgeschneiderte Lösungen für bestimmte Organisationen bereitstellen.


• Peer-Learning und Erfahrungsaustausch: Der Austausch von Best Practices und Erfahrungen zwischen Unternehmen und Organisationen kann ebenfalls eine wertvolle Informationsquelle sein. Branchenkonferenzen, Workshops und Foren bieten Gelegenheiten zum Networking und zur gemeinsamen Erörterung bewährter Verfahren.

Die ISO/IEC 27001 ist ein international anerkannter Standard für das Management von Informationssicherheit. Sie ist nicht gesetzlich verpflichtend, sondern ein freiwilliger Standard, den Organisationen nutzen können, um ein Informationssicherheits-Managementsystem (ISMS) einzuführen, zu betreiben und kontinuierlich zu verbessern. Allerdings gibt es einige Szenarien und Kontexte, in denen die ISO 27001 indirekt oder direkt zur Pflicht werden kann:

Regulatorische Anforderungen:

• Branchenspezifische Vorschriften: In einigen Branchen, wie der Finanzdienstleistungsbranche oder dem Gesundheitswesen, kann es regulatorische Anforderungen geben, die die Einhaltung von Informationssicherheitsstandards wie ISO 27001 verlangen, um bestimmte gesetzliche und regulatorische Verpflichtungen zu erfüllen.


• Datenschutzgesetze: Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) in der EU verlangen, dass Organisationen angemessene Sicherheitsmaßnahmen für den Schutz personenbezogener Daten treffen. Die ISO 27001 kann als Nachweis für diese Maßnahmen dienen, auch wenn die Zertifizierung selbst nicht gesetzlich vorgeschrieben ist.

Vertragliche Verpflichtungen:

• Verträge mit Kunden oder Partnern: Unternehmen können vertraglich verpflichtet werden, ISO 27001-zertifiziert zu sein, insbesondere wenn sie mit großen Kunden oder in sicherheitskritischen Bereichen arbeiten. Viele Unternehmen fordern von ihren Lieferanten und Dienstleistern eine ISO 27001-Zertifizierung, um sicherzustellen, dass ihre Daten und Systeme angemessen geschützt sind.

Marktvorteil und Wettbewerbsfähigkeit:

• Wettbewerbsvorteil: Obwohl nicht gesetzlich vorgeschrieben, kann die ISO 27001-Zertifizierung als Wettbewerbsvorteil dienen, indem sie Kunden und Partnern zeigt, dass die Organisation hohe Standards für Informationssicherheit einhält.


• Vertrauensaufbau: Die Zertifizierung stärkt das Vertrauen von Kunden, Partnern und anderen Stakeholdern in die Sicherheitspraktiken der Organisation.

Interne Richtlinien und Standards:

• Unternehmensinterne Richtlinien: Einige Organisationen entscheiden sich aus eigenen Gründen dafür, ISO 27001 einzuführen, um interne Richtlinien und Standards für Informationssicherheit zu erfüllen oder zu verbessern.

• Sensible Informationen verarbeiten: Dazu gehören Unternehmen, die personenbezogene Daten, Finanzdaten, geistiges Eigentum oder andere vertrauliche Informationen verwalten.


• Regulatorische Anforderungen erfüllen müssen: Viele Branchen unterliegen gesetzlichen und regulatorischen Anforderungen bezüglich Informationssicherheit. Die Implementierung von ISO/IEC 27001 kann helfen, diese Anforderungen zu erfüllen.


• Sichere IT-Infrastrukturen benötigen: Organisationen, die auf IT-Systeme angewiesen sind, profitieren von den Sicherheitsrichtlinien und -prozessen, die ISO/IEC 27001 bietet.


• Reputationsschutz anstreben: Ein ISMS kann dazu beitragen, das Vertrauen von Kunden und Partnern zu stärken und das Unternehmen vor Reputationsschäden durch Sicherheitsvorfälle zu schützen.


• Risiken minimieren möchten: ISO/IEC 27001 hilft bei der Identifikation und Bewertung von Risiken und der Implementierung von Kontrollen zur Risikominderung.


• Wettbewerbsvorteile sichern wollen: Ein ISO/IEC 27001-Zertifikat kann als Wettbewerbsvorteil dienen und zeigt Kunden und Partnern, dass das Unternehmen ernsthaft auf Informationssicherheit achtet.


• Ein strukturiertes Sicherheitsmanagement benötigen: Der Standard bietet einen systematischen Ansatz zur Verwaltung von Informationssicherheitsrisiken und hilft bei der Etablierung einer klaren Sicherheitsstrategie.

Obwohl der Standard für jede Organisation von Vorteil sein kann, hängt die Notwendigkeit und der Umfang der Implementierung von den spezifischen Anforderungen und Risiken der jeweiligen Organisation ab.

Die ISO/IEC 27001-Zertifizierung bietet eine Reihe von Vorteilen, die für Organisationen jeder Größe und Branche relevant sind. Hier sind einige der wichtigsten Vorteile:

• Verbesserter Schutz von Informationen: Die Zertifizierung hilft dabei, Sicherheitsmaßnahmen zu implementieren und zu überwachen, die den Schutz von vertraulichen Informationen gewährleisten.


• Erhöhtes Vertrauen und Glaubwürdigkeit: Kunden, Partner und andere Interessengruppen sehen eine ISO/IEC 27001-Zertifizierung oft als Zeichen für die Fähigkeit eines Unternehmens, Sicherheitsstandards einzuhalten. Dies kann das Vertrauen in das Unternehmen stärken und zu neuen Geschäftsmöglichkeiten führen.


• Risikomanagement: Die Norm fordert eine systematische Identifizierung und Bewertung von Risiken im Zusammenhang mit Informationssicherheit. Dies ermöglicht es Organisationen, proaktive Maßnahmen zur Risikominderung zu ergreifen.


• Compliance mit gesetzlichen Anforderungen: ISO/IEC 27001 hilft dabei, gesetzliche und regulatorische Anforderungen an die Informationssicherheit zu erfüllen, was besonders wichtig in stark regulierten Branchen ist.


• Verbesserte Prozesse: Die Implementierung des Information Security Management Systems (ISMS) nach ISO/IEC 27001 kann zu effizienteren und effektiveren Sicherheitsprozessen innerhalb der Organisation führen.


• Schutz vor Sicherheitsvorfällen: Durch die Anwendung von Best Practices und Sicherheitskontrollen kann die Wahrscheinlichkeit und das Ausmaß von Sicherheitsvorfällen, wie Datenlecks oder Cyberangriffen, reduziert werden.


• Kontinuierliche Verbesserung: Die Norm fördert einen kontinuierlichen Verbesserungsprozess, der sicherstellt, dass das ISMS stets aktuell und wirksam ist, um neuen Bedrohungen und Schwachstellen gerecht zu werden.


• Vorteile im Wettbewerb: Unternehmen, die nach ISO/IEC 27001 zertifiziert sind, können sich im Vergleich zu Wettbewerbern, die keine Zertifizierung haben, abheben, insbesondere in Bezug auf Sicherheit und Vertrauen.


• Engagement der Mitarbeiter: Die Einführung und Aufrechterhaltung eines ISMS fördert ein Bewusstsein für Informationssicherheit und die Verantwortlichkeiten jedes Einzelnen im Unternehmen.


• Bessere Reaktionsfähigkeit: Ein effektives ISMS ermöglicht es einer Organisation, schneller und gezielter auf Sicherheitsvorfälle zu reagieren und angemessene Maßnahmen zu ergreifen.

Insgesamt kann die ISO/IEC 27001-Zertifizierung eine wertvolle Investition sein, die dazu beiträgt, die Informationssicherheit zu verbessern und das Vertrauen in die Organisation zu stärken.

• Kontext der Organisation: Die Organisation muss die internen und externen Faktoren identifizieren, die sich auf die Informationssicherheit auswirken könnten. Dazu gehört auch das Verständnis der Bedürfnisse und Erwartungen der interessierten Parteien.


• Führung: Die oberste Leitung muss sich zur Informationssicherheit verpflichten und die Verantwortung übernehmen. Dazu gehört auch die Festlegung einer Informationssicherheitspolitik und die Sicherstellung der notwendigen Ressourcen.


• Planung: Es muss ein Informationssicherheitsrisikomanagementprozess eingerichtet werden. Die Organisation muss Risiken identifizieren, bewerten und behandeln sowie Ziele für die Informationssicherheit festlegen.


• Unterstützung: Die Organisation muss sicherstellen, dass die notwendigen Ressourcen, Kompetenzen, Bewusstsein und Kommunikation für das Informationssicherheits-Managementsystem vorhanden sind. Dazu gehört auch die Dokumentation und Aufrechterhaltung der notwendigen Verfahren und Richtlinien.


• Betrieb: Die Organisation muss Maßnahmen und Verfahren umsetzen, um die Anforderungen der Informationssicherheit zu erfüllen und die Risiken zu behandeln.


• Leistungsevaluierung: Es ist erforderlich, dass die Organisation regelmäßig ihre Informationssicherheitsmaßnahmen bewertet, überwacht und analysiert. Dazu gehören auch interne Audits und Managementbewertungen.


• Verbesserung: Die Organisation muss kontinuierliche Verbesserungen an ihrem Informationssicherheits-Managementsystem vornehmen. Dazu gehört das Ergreifen von Korrektur- und Vorbeugungsmaßnahmen, um festgestellte Schwachstellen oder Probleme zu beheben.

Diese Anforderungen helfen der Organisation, ihre Informationssicherheitsrisiken systematisch zu managen und sicherzustellen, dass ihre Informationssicherheitsmaßnahmen effektiv und kontinuierlich verbessert werden.