current language
Deutschland verfügbar in folgenden Sprachen:
oder wählen Sie Ihr TÜV Rheinland Land / Ihre Region aus:
IT Sicherheitsgesetz Kritische Infrastruktur KRITIS | TÜV Rheinland

Kritische Infrastrukturen (KRITIS)

KRITIS – Mit Sicherheit mehr Qualität

Die immer größer werdende Menge an Informationen macht es Unternehmen und Organisationen zunehmend schwerer, diese entsprechend zu schützen. Mit dem IT-Sicherheitsgesetz möchte die Bundesregierung IT-Systeme und digitale Infrastrukturen in Deutschland speziell absichern. Denn gerade der Ausfall kritischer Infrastrukturen (KRITIS), wie beispielsweise im Bereich der Netzbetreiber, Banken oder Versicherer, hätte drastische Folgen für die Wirtschaft, die Gesellschaft und auch den Staat.

Besonders Betreiber solcher kritischen Infrastrukturen und Unternehmen aus wichtigen Wirtschaftsbereichen sind nach dem IT-Sicherheitsgesetz verpflichtet, ein Mindestmaß an IT-Sicherheit zu gewährleisten und somit mögliche Ausfälle oder Beeinträchtigungen zu vermeiden. Wer als Betreiber kritischer Infrastrukturen gilt, wird durch die geltende Rechtsverordnung des IT-Sicherheitsgesetzes festgelegt. Darin sind Regelschwellenwerte in Bezug auf die Anzahl versorgter Personen enthalten, mit deren Hilfe die Bestimmung erfolgt.

Sie möchten mehr zu unseren KRITIS-Audits erfahren?

Definition KRITIS

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Definition nach BSI und BBK)

Lesen Sie mehr in unserer KRITIS Broschüre

Überblick über Kritische Infrastrukturen (KRITIS)

Was sind Kritische Infrastrukturen (KRITIS)

Übersicht darüber, was „Kritische Infrastrukturen“ (KRITIS) umfassen

Im Rahmen der KRITIS-Verordnung gelten die verpflichtenden Vorgaben nach dem IT-Sicherheitsgesetz der Bundesregierung für folgende Sektoren:
Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Siedlungsabfallentsorgung sowie Finanz- und Versicherungswesen. Die definierten KRITIS-Betreiber müssen die vorgegebenen Maßnahmen (Meldepflicht, ISMS betreiben, ein System zur Angriffserkennung einsetzen, Prüfung mit Nachweis an BSI…) verpflichtend umsetzen.

Ausgenommen sind aktuell noch Staat & Verwaltung sowie Medien & Kultur.

Optimierung Ihrer Informationssicherheit: Unsere KRITIS-Audits gemäß § 8a BSIG

Mit einem KRITIS-Prüfung/Audit gem. § 8a BSIG bieten wir Ihnen einen belastbaren Nachweis für Ihr professionelles IT-Sicherheitsmanagement. Als Betreiber Kritischer Infrastrukturen, unabhängig davon, ob privatwirtschaftlich oder öffentlich-rechtlich organisiert, sichern Sie mit der KRITIS-Prüfung die Versorgung der Bevölkerung durch die Aufrechterhaltung zwingend notwendiger Dienstleistungen in hoher Qualität und Stabilität. Damit wird eine wesentliche Grundlage für das Funktionieren der Gesellschaft erbracht. Die Nachweise über eine KRITIS-Prüfung ist von den Betreibern von kritischen Infrastrukturen gemäß § 8a BSIG im 2-Jahres-Turnus nachzuweisen.

Ab dem 01.05.2023 ist zusätzlich – Im Rahmen der KRITIS-Prüfung- der Nachweis über den Umsetzungsgrad der „Systeme zur Angriffserkennung (SzA)“ gefordert, welches die KRITIS-Betreiber einsetzen müssen.

Als zugelassene Prüfstelle führen unsere erfahrenen Fachleute mit Ihnen die vorgeschriebene KRITIS-Prüfung durch und wir erstellen die notwendigen Nachweise für das BSI. Unsere erfahrenen Experten begleiten Sie gerne durch die KRITIS-Prüfung,-mit oder ohne einen branchenspezifischen Sicherheitsstandard B3S.

Unsere Experten informieren Sie gern näher zur Prüfung kritischer Infrastrukturen.

Häufig gestellte Fragen zur KRITIS von unseren Experten beantwortet

Alle anzeigen Ausblenden

Ist eine ISO 27001 Zertifizierung für KRITIS Betreiber nicht bereits ausreichend?

Bei einer ISO 27001-Zertifizierung ist nicht automatisch der gesamte, für den Nachweis nach § 8a BSIG relevante Geltungsbereich (Scope) erfasst. Der Geltungsbereich des Nachweises muss die Kritische Infrastruktur bzw. die kritische Dienstleistung (kDL) vollständig umfassen (Prozess-Sicht).(BSI)

Zudem sollten die Anforderungen des BSI an KRITIS-Betreiber bezüglich der kritischer Dienstleistungen (Stichproben, Branchenspezifika) ebenfalls betrachtet werden.

Welche Umsetzungsfristen nach §§8a und 8b BSIG ergeben sich für Unternehmen, die erst nach Inkrafttreten der BSI-KritisV erstmalig Schwellenwerte überschreiten?

Die §§ 8a und 8b BSIG enthalten keine generelle Umsetzungsfrist für den Fall des erstmaligen Überschreitens der Schwellenwerte. Vorgesehen sind nur Umsetzungsfristen, die sich auf das erstmalige Inkrafttreten der BSI-KritisV (Korb 1 und 2) beziehen. Betreiber, die nicht bereits mit Inkrafttreten von Korb 1 oder 2, sondern erst zukünftig den Regelungen unterfallen, müssen die Pflichten nach §§ 8a und 8b BSIG unverzüglich umsetzen. Für den Nachweis der Umsetzung haben die Betreiber aber zwei Jahre Zeit.

Quelle: https://www.bsi.bund.de/dok/faq-nachweise-kritis

KRITIS Betreiber sollen „den Stand der Technik einhalten.“ Was genau ist das und wer legt den aktuellen Stand fest?

Eine Definition: „Stand der Technik“ ist der aktuelle Entwicklungsstand der Technik (Verfahren, Betriebsweisen, Einrichtungen) der die praktische Eignung von Maßnahmen zum Schutz einer Funktionalität (Systeme, Prozesse, Komponenten) gegen Beeinträchtigung (Vertraulichkeit, Integrität, Verfügbarkeit aber auch Authentizität) gesichert erscheinen lässt.
Aber auch: „Stand der Technik“ : -Mit Erfolg in der Praxis getestet.
Informationen zum „Stand der Technik“ erhält man über einschlägige nationale und internationale Normen/ Standards/ Gremien.

Weitere Informationen zum Download

FAQ ISO 27001

IT-Sicherheitsgesetz – Was sind „Kritische Infrastrukturen“?

Das könnte Sie auch interessieren

ISO 27001 Informationssicherheit

TÜV Rheinland Mitarbeiter prüfen IT-Sicherheit

Bauen Sie mit unserer ISO 27001 Zertifizierung ein integriertes IT-Sicherheits-Managementsystem auf.

mehr erfahren

Zertifizierung nach IT-Sicher­heits­katalog

Zertifizierung nach IT-Sicherheitskatalog

Stellen Sie mit unserer Zertifizierung die Konformität nach IT-Sicherheitskatalog sicher.

mehr erfahren

Reliable Data Center

Reliable Data Center mit TÜV Rheinland

Reliable Data Center Zertifizierung für höchste Betriebssicherheit Ihres Rechenzentrums.

mehr erfahren

BSI – Kritische Infrastrukturen

Kritische Infrastrukturen ( KRITIS ) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Mehr lesen

Kontakt

Kontaktieren Sie uns!

Kontaktieren Sie uns!