KRITIS – Wissen kompakt

  • (IT-)Schutz kritischer Infrastrukturen
  • Stabilität von Versorgung und gesellschaftlicher Ordnung
  • Organisationen und Einrichtungen aus insgesamt 10 Sektoren
  • Umsetzung diverser IT-Sicherheitsmaßnahmen
  • Wann: Sofort
Inhalt

Was ist KRITIS?

KRITIS steht als Abkürzung für kritische Infrastrukturen. Damit sind Organisationen und Einrichtungen gemeint, deren Tätigkeit einen essenziellen Beitrag zur Aufrechterhaltung der gewohnten Ordnung in der Gesellschaft leisten. Damit das so bleibt, sind KRITIS-Unternehmen und -Organisationen laut BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) dazu verpflichtet, Maßnahmen zu ergreifen, die dem Schutz der Funktionsfähigkeit dienen.

Welche KRITIS-Sektoren gibt es?

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verteilen sich die KRITIS-Unternehmen auf 10 verschiedene Sektoren. Nicht alle fallen hingegen in den Zuständigkeitsbereich des BSI und sind durch das BSIG abgedeckt.

 

Sektoren BSIG-regulierter Kritis-Unternehmen

Zu den Sektoren, in denen Unternehmen zu den KRITIS gezählt und durch das BSI-Gesetz reguliert werden, gehören:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen
  • Siedlungsabfallentsorgung

 

Sektoren nicht BSIG-regulierter (Kritis-)Unternehmen

Zu den Sektoren, bei denen Organisationen zwar als KRITIS eingestuft werden können, jedoch nicht unter das BSI-Gesetz fallen, zählen:

  • Medien und Kultur
  • Staat und Verwaltung

Welche Branchen sind von der KRITIS-Verordnung betroffen?

Grundsätzlich ist laut BSI davon auszugehen, dass sämtliche Organisationen und Unternehmen, die in einem der 10 Sektoren tätig sind, zu den kritischen Infrastrukturen gehören. Allerdings gibt es in der BSI-Kritisverordnung Abstufungen. Potenzielle KRITIS-Unternehmen können der Liste entnehmen, ab welchen Schwellenwerten ein Unternehmen in einer bestimmten Branche als zu den kritischen Infrastrukturen zugehörig eingestuft wird.

Welche Anforderungen müssen KRITIS-Unternehmen erfüllen?

Maßgeblich ist das IT-Sicherheitsgesetz (IT-SiG bzw. IT-SiG 2.0). Dieses ist in gewisser Weise eine Fortführung des BSI-Gesetzes. Es schreibt den KRITIS-Betreibern konkrete Maßnahmen vor, die in Bezug auf die IT-Sicherheit in den jeweiligen Unternehmen und Organisationen umgesetzt werden sollen. Durch die Stärkung der IT-Sicherheit in den kritischen Infrastrukturen soll ein Ausfall derselben verhindert werden. Deshalb müssen KRITIS-Betreiber laut IT-Sicherheitsgesetz Folgendes gewährleisten:

Anforderungen

BSI-Kontaktstelle im Unternehmen einrichten und benennen

IT-Störungen sowie erhebliche Beeinträchtigungen sofort melden

IT-Infrastruktur und -Sicherheit immer aktuell halten

Nachweis alle 2 Jahre gegenüber dem BSI, dass alle Anforderungen erfüllt sind

Welche Herausforderungen und Entwicklungen beeinflussen kritische Infrastrukturen?

Angesichts der stetig wachsenden Vernetzung von Produktions- und Lieferketten sowie der zunehmenden Digitalisierung kann der Ausfall kritischer Infrastrukturen nicht nur für einen kurzzeitigen Engpass, sondern für eine regelrechte Kettenreaktion sorgen. Ein besonderes Risiko stellt dabei die IT-Sicherheit dar: Ohne wirksamen Schutz sind die IT-Strukturen der KRITIS Angriffen und Bedrohungen ausgeliefert. Zu den wichtigsten Anforderungen, die an Betreiber kritischer Infrastrukturen gestellt werden, gehört daher den bestmöglichen Schutz der eigenen Cyber-Infrastruktur sicherzustellen.

Welche Schutzkonzepte gibt es für kritische Infrastrukturen?

Um den Anforderungen gerecht zu werden, gibt es eine ganze Reihe von Maßnahmen, die Betreiber kritischer Infrastrukturen nutzen können. Die einzelnen Maßnahmen sollten dabei in ein ganzheitliches IT-Sicherheitskonzept integriert werden. Beispielhafte Maßnahmen sind:

Sie haben Fragen zu KRITIS?
Wir unterstützten Sie gerne mit fundiertem Know-how.

Kontaktformular
Ansprechpartner
Ulrich Alt

Risk & Compliance Manager

ulrich.alt@viridicon.de

FAQs: Häufige Fragen zu KRITIS

Welche Bedeutung haben kritische Infrastrukturen für die Gesellschaft?
Wo findet man Informationen über aktuelle KRITIS-Strategien?
Wie sollte auf Störungen in kritischen Infrastrukturen reagiert werden?
Warum sollten Unternehmen sich um den KRITIS-Schutz kümmern?
Was ist eine KRITIS-Zertifizierung?

Beratung zum Thema KRITIS