Was bedeutet KRITIS?

Als Kritische Infrastrukturen (KRITIS) gelten Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit zur Folge hätte. Das BSI-Gesetz und die BSI-KRITIS-Verordnung definieren neun Sektoren und sektorspezifische Schwellenwerte.

Mit dem KRITIS-Dachgesetz, das 2024 in Kraft getreten ist, wurden die Anforderungen an Betreiber kritischer Infrastrukturen erweitert. Zusätzlich zur bestehenden IT-Sicherheits­regulierung wurden neue Pflichten zur physischen Sicherheit und Resilienz eingeführt.

KRITIS-Betroffenheitsprüfung

In welchem Sektor ist Ihr Unternehmen tätig?

KRITIS umfasst neun definierte Sektoren. Wählen Sie den Bereich, der Ihre Kerntätigkeit am besten beschreibt.

Energie Strom, Gas, Öl, Fernwärme, Wasserstoff
Wasser Trinkwasserversorgung, Abwasserentsorgung
Ernährung Lebensmittelversorgung, Lebensmittelverarbeitung und -handel
IT und Telekommunikation Informationsverarbeitung, Telekommunikationsnetze, Rechenzentren
Transport und Verkehr Luft, Schiene, Straße, See, Binnenschifffahrt, ÖPNV, Logistik
Gesundheit Krankenhäuser, Labore, Arzneimittelversorgung, Medizintechnik
Finanz- und Versicherungswesen Banken, Zahlungsverkehr, Börsen, Versicherungen
Siedlungsabfallentsorgung Entsorgung von Haushalts- und gewerblichem Abfall (neu seit KRITIS-DachG)
Staat und Verwaltung Bundesbehörden, Landesbehörden, Kommunalverwaltungen
Keiner der genannten Sektoren Mein Unternehmen ist in einem anderen Bereich tätig

Wie groß ist die Versorgungsreichweite Ihres Unternehmens?

Maßgeblich ist, wie viele Personen von Ihrer Leistung abhängig sind oder durch einen Ausfall betroffen wären. Der allgemeine Schwellenwert liegt bei 500.000 versorgten Personen.

Unter 100.000 Versorgungsleistung betrifft weniger als 100.000 Personen
100.000 bis 499.999 Versorgungsleistung betrifft 100.000 bis unter 500.000 Personen
500.000 oder mehr Versorgungsleistung betrifft 500.000 oder mehr Personen

KRITIS-Pflichten im Überblick

AnforderungRechtsgrundlageFrist / Turnus
Umsetzung angemessener IT-Sicherheitsmaßnahmen§§ 30, 31 BSIGLaufend
Nachweis gegenüber dem BSI (Audit / Prüfung)§§ 38, 39 BSIGAlle 2 Jahre
Meldung erheblicher Störungen an das BSI§ 32 BSIGUnverzüglich
Registrierung beim BSI§ 33 BSIGEinmalig, nach Einstufung
Physische Sicherheit und ResilienzKRITIS-DachGLaufend
Business Continuity ManagementKRITIS-DachGLaufend

KRITIS und NIS2 — was gilt parallel?

KRITIS-Betreiber sind in der Regel auch von NIS2 betroffen, da die KRITIS-Sektoren weitgehend deckungsgleich mit den NIS2-Anlage-1-Sektoren sind. Beide Regelwerke stellen eigene Anforderungen, die sich jedoch in weiten Teilen ergänzen. Wer ein ISMS nach ISO 27001 betreibt, hat eine solide Grundlage für beide Regelwerke.