KRITIS Compliance

Betreiber kritischer Infrastrukturen (KRITIS) müssen gesetzliche Anforderungen wie das IT-Sicherheitsgesetz erfüllen. BCM hilft diesen Organisationen, ihre Geschäftsprozesse auch in Krisensituationen aufrechtzuerhalten und Compliance sicherzustellen. Wir unterstützen KRITIS-Betreibern, ein BCM aufzubauen, das die Compliance sicherstellt und Ausfallzeiten minimiert.

KRITIS-Betreiber müssen ein Informationssicherheits-Managementsystem (ISMS) einführen, regelmäßige Risikobewertungen durchführen und technische sowie organisatorische Maßnahmen zum Schutz ihrer IT-Systeme umsetzen. Alle zwei Jahre ist ein Nachweis über die Wirksamkeit dieser Maßnahmen beim BSI vorzulegen.

Zertifizierungen wie ISO 27001 oder BSI IT-Grundschutz bieten eine solide Grundlage, erfüllen jedoch nicht vollständig die Anforderungen des § 8a BSIG. Ergänzende Nachweise und spezifische Anpassungen sind erforderlich, um die gesetzlichen Vorgaben zu erfüllen.

Der Prozess zur Erfüllung der KRITIS-Anforderungen kann je nach Ausgangssituation und Unternehmensgröße 6 bis 12 Monate dauern. Eine strukturierte Planung und professionelle Unterstützung verkürzen die Dauer.

Obwohl KRITIS (§ 8a BSIG) und NIS-2 beide auf die Absicherung kritischer Infrastrukturen abzielen, gibt es wesentliche Unterschiede:

• Anwendungsbereich:
  KRITIS gilt spezifisch für Deutschland und umfasst Betreiber kritischer Infrastrukturen, die definierte Schwellenwerte überschreiten.
  NIS-2 ist eine EU-weite Richtlinie, die einen breiteren Anwendungsbereich hat, einschließlich mittelgroßer Unternehmen in zusätzlichen Sektoren wie Umwelt, öffentliche Verwaltung oder digitale Dienste.
• Schwellenwerte:
  KRITIS-Betreiber werden anhand fester Schwellenwerte identifiziert, wie z. B. Produktionskapazität oder Versorgungsumfang.
  NIS-2 arbeitet mit flexibleren Kriterien wie Unternehmensgröße (z. B. mehr als 50 Mitarbeiter oder 10 Millionen Euro Umsatz) und der kritischen Rolle des Unternehmens im jeweiligen Sektor.
• Aufsichtsbehörden:
  Für KRITIS ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) die zuständige Behörde.
  Bei NIS-2 wird das BSI ebenfalls eine Hauptrolle übernehmen, jedoch können auch weitere nationale Behörden je nach Branche eingebunden werden, z. B. die Bundesnetzagentur für Energie und Telekommunikation oder das Kraftfahrt-Bundesamt für den Verkehrssektor.
• Pflichten und Sanktionen:
  Beide Regelwerke fordern umfassende Sicherheitsmaßnahmen und Meldepflichten. NIS-2 sieht jedoch strengere Sanktionen und breitere Meldepflichten vor, z. B. bei schwerwiegenden Cybervorfällen.

Die NIS-2-Richtlinie, die bis Oktober 2024 in nationales Recht umgesetzt werden muss, wird den Rechtsrahmen für KRITIS-Betreiber erweitern:

• Erweiterter Anwendungsbereich: Neben den bisherigen KRITIS-Betreibern gemäß § 8a BSIG werden durch NIS-2 weitere Branchen und Unternehmen reguliert, wie z. B. Umwelt, öffentliche Verwaltung und digitale Dienste.
• Kombination von Vorgaben: Die Anforderungen aus § 8a BSIG bleiben bestehen, werden jedoch durch neue Vorgaben aus NIS-2 ergänzt, z. B. strengere Meldepflichten bei Cybervorfällen.
• Neue Verpflichtungen: Unternehmen müssen zusätzliche Maßnahmen wie die Benennung eines Sicherheitsverantwortlichen und ein umfassenderes Risikomanagement umsetzen.
• Erhöhung der Anforderungen: KRITIS-Betreiber müssen ihre bestehenden Sicherheitsmaßnahmen an die neuen Vorgaben anpassen und umfangreichere Berichterstattung leisten.
• Aufsicht durch das BSI: Das BSI bleibt die zentrale Aufsichtsbehörde für KRITIS und könnte seine Zuständigkeit für neue Branchen erweitern.

Was bedeutet das für Unternehmen?
Unternehmen, die bereits als KRITIS-Betreiber eingestuft sind, sollten ihre Sicherheitsmaßnahmen frühzeitig überprüfen und anpassen. Neue Unternehmen, die durch NIS-2 reguliert werden, müssen prüfen, ob sie künftig unter die erweiterten Regelungen fallen.

KRITIS-Audits prüfen die IT-Sicherheit kritischer Infrastrukturen, die essenzielle Dienstleistungen für die Gesellschaft bereitstellen (z. B. Energieversorger, Banken, Gesundheitswesen). Unternehmen aus diesen Branchen müssen nach IT-Sicherheitsgesetz (IT-SiG 2.0) nachweisen, dass sie angemessene Schutzmaßnahmen implementiert haben. Die Prüfung erfolgt meist auf Basis von BSI IT-Grundschutz oder ISO 27001.