KRITIS | Kritische Infrastrukturen

Seit bestehen der Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) begleiten wir KRITIS-Betreiber bei Prüfnachweisen gemäß §8a BSIG. Zu unseren Kunden zählen Betreiber aus den Sektoren IT, Telekommunikation, Energie, Wasser, Ernährung, Finanzen, Verkehr und Gesundheit. Wir unterstützen dabei die Standards nach ISO 27001 oder IT-Grundschutz, des weiteren auch eine Vielzahl an branchenspezifischen Sicherheitsstandards (B3S) zu implementieren. 

KRITIS oder nicht KRITIS? Ein Unternehmen, welches den KRITIS Sektoren angehört erbringt als kritische Infrastruktur eine kritische Dienstleistung. Wenn ein Unternehmen in einem der KRITIS-Sektoren mit seinen Anlagen die Schwellenwerte der KRITIS Verordnung als Kritische Infrastruktur überschreitet, fällt es als KRITIS-Betreiber unter die KRITIS-Regulierung mit Cyber Security Pflichten. Versorgen Anlagen über 500 Tsd. Personen mit einer kritischen Dienstleistung, werden Betreiber meist KRITIS.

Pflichten für KRITIS-Betreiber

NIS2: Wenn Sie KRITIS Betreiber sind, sind Sie auch NIS2 reguliert und zum Einsatz von Systemen zur Angriffserkennung verpflichtet.

KRITIS-Betreiber müssen eine Kontaktstelle bzw. Person benennen, über die das Unternehmen für das BSI jederzeit erreichbar ist.

KRITIS-Betreiber sind verpflichtet, außergewöhnliche IT-Störungen und Sicherheitsvorfälle beim BSI zu melden.

Um Störungen der informationstechnischen Systeme zu vermeiden, muss der IT-Sicherheitsstandard in KRITIS-Unternehmen dem „Stand der Technik“ entsprechen.

Für den Fall einer massiven Versorgungsstörung müssen Unternehmen geeignete Maßnahmenkataloge erarbeiten, um die Folgen eines solchen Ereignisses möglichst gering zu halten.

KRITIS-Betreiber müssen die Etablierung angemessener Vorkehrungen und die Erfüllung der Technikstandards alle zwei Jahre beispielsweise durch Sicherheitsaudits gegenüber dem BSI nachweisen.

KRITIS Audit als Start in Ihr ISMS

Wie steht es um die Informationssicherheit in Ihrer Organisation? Wir analysieren die Anforderungen für KRITIS Unternehmen nach §8a Absatz 1 BSIG bestehend aus Themen in folgenden Bereichen: 

Nach erfolgreicher Analyse erstellen wir eine diagrammgestützte Auswertung für ihre Geschäftsleitung zur besseren Übersicht der aktuellen Situation im Bereich Informationssicherheit. Wir bedienen uns hierzu der Umsetzungshilfen nach ISO 27001.

KRITIS Audit

3.990
  • Kick Off
  • Analyse
  • Ergebnis
Festpreis

KRITIS Penetrationstest

Jährliche Penetrationstests sind für KRITIS-Betreiber zwingend notwendig und müssen BSI-konform erfolgen. In der BSI-Veröffentlichung der umzusetzenden Maßnahmen werden die Anforderungen für KRITIS-Betreiber zur Durchführung von regelmäßigen Pentests konkretisiert. Die wenigsten KRITIS-Betreiber haben erfahrungsgemäß qualifiziertes, internes Personal zur Durchführung professioneller Pentests. Unser erfahrenes Pentest-Team verfügt über die nötige Expertise in Bezug auf die besonderen Anforderungen kritischer Infrastrukturen.

KRITIS Konkretisierung der Anforderungen & Maßnahmen (BSI)

KRITIS Pentest

  • Kick Off
  • Analyse
  • Ergebnis

Unsere Erfahrung ist Ihr Vorteil

Aktuelle Schwellenwerte

Finanz & Vers.

Transport & Verkehr

Gesundheit

Entsorgung

Termine & preise zu Schulungen & Workshops

Donnerstag, Februar 27, 2025 Februar 27
Dienstag, März 18, 2025 März 18
Keine Veranstaltung gefunden
Weitere laden

SUCCESS STORY

„Bei der Implementierung unseres ISMS nach ISO 27001 (KRITIS), konnten wir uns voll und ganz auf die neam IT-Services GmbH verlassen. Wir haben außerdem erfolgreich von der jahrelangen Erfahrung im Bereich interner Audits und der Sensibilisierung von Mitarbeitern profitiert.“

Swen Tewes

Dipl.-Ing.,  Prokurist, 

Certified ISO/IEC 27001 Lead Implementer

ZVO Energie GmbH

FAQ

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Durch das BSIG regulierte KRITIS-Sektoren

Gemäß § 2 Absatz 10 BSIG sind Kritische Infrastrukturen im Sinne des BSI Gesetzes Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz BSIG (BSI-Kritisverordnung) näher bestimmt:

Die BSI-Kritisverordnung definiert kritische Dienstleistungen und Schwellenwerte. Welche Einrichtungen, Anlagen oder Teile davon wegen ihrer Bedeutung für die Versorgung der Bevölkerung und damit für das Funktionieren des Gemeinwesens als Kritische Infrastrukturen im Sinne des BSIG gelten, wird durch die BSI-Kritisverordnung definiert. Ob ein bedeutender Versorgungsgrad vorliegt, ist vom Erreichen oder Überschreiten von in der BSI-Kritisverordnung aufgeführten Schwellenwerten abhängig. Werden diese Schwellenwerte erreicht oder überschritten, gelten für KRITIS-Betreiber die gesetzlichen Melde- und Nachweispflichten des BSIG.

Mit einer erfolgreich abgeschlossenen KRITIS-Prüfung bestätigt Ihnen eine unabhängige Prüfstelle, dass Ihr Unternehmen den aktuellen Sicherheitsstandards entsprechend Ihrer Vorgaben entspricht. In diesem Rahmen wird geprüft, ob Ihre Sicherheitsbemühungen den derzeitigen Anforderungen des BSI entsprechen.

Der sogenannte „Stand der Technik“ meint, dass innerhalb eines Unternehmens alle Informationssicherheitsmaßnahmen den fortschrittlichsten Verfahren, Ausstattungen und Betriebsweisen entsprechen müssen. Es ist zu beachten, dass der jeweilige aktuelle Stand den entsprechenden nationalen, internationalen und europäischen Normen und Standards entspricht und erfolgreich in der Praxis erprobt wurde. Konkrete Vorgaben und Leitfäden werden durch die jeweiligen Branchen im Rahmen der B3S – branchenspezifische Sicherheitsstandards – oder durch das BIS selbst vorgeschlagen.

Das IT-Sicherheitsgesetz 2.0 (BSI ist im Mai 2021 und die neue KRITIS-Verordnung ab Januar 2022 in Kraft getreten. Die neue KRITIS-Verordnung vergrößert die Zahl der KRITIS-Unternehmen und die Befugnisse des BSI erheblich. Die Siedlungsabfall­entsorgung, auch KRITIS Entsorgung, wird als offizieller KRITIS-Sektor im Gesetz aufgenommen. Entsorger werden damit im IT-Sicherheitsgesetz 2.0 je nach Schwellenwerten zur Kritischen Infrastruktur. Mit dem IT-Sicherheitsgesetz 2.0 gehören neben KRITIS-Betreibern auch Unternehmen im besonderen öffentlichen Interesse (UNBÖFI/UBI) dazu. Die Unternehmen haben eine große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland und setzen sich aus den Bereichen Rüstung, Volkswirtschaftliche Bedeutung und Gefahrstoffe zusammen.

  • Umsetzung Angriffserkennung (SIEM, SOC)
  • Prüfung Schwellenwert
  • unmittelbare BSI-Registrierung
  • Umsetzung Sicherheitsanforderungen
  • Meldepflichten an das BSI
  • Erweiterung der KRITIS-Liste
  • neue Pflichten für KRITIS Betreiber
  • mehr betroffene Unternehmen
  • Ausweitung der Befugnisse des BSI
  • Verbraucherschutz und Strafen
  • IT-Sicherheitsgesetz 2.0 Paragraph 8
  • aktualisierte Schwellenwerte

Sichere IT-Systeme und die darin verarbeiteten Informationen in der Gesundheitsversorgung sind von höchster Bedeutung. Die störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse muss sichergestellt sein. Gleiches betrifft auch die Authentizität der Informationen. Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden. Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen. 

Zur Verbesserung der digitalen Infrastruktur von Krankenhäusern, wurde mit dem Krankenhauszukunftsgesetz (KHZG) ein Milliarden schweres Investitionsprogramm aufgelegt. Das „Zukunftsprogramm Krankenhäuser“ umfasst ein Volumen von insgesamt ca. 4,3 Milliarden Euro (3 Milliarden aus Bundesmitteln zuzüglich, 1,3 Milliarden sollen die Länder bereitstellen, siehe KHZG).

  • Fallzahlen von 30.000 vollstationären Patienten pro Jahr bei Kliniken und Krankenhäusern
  • ca. 4.7 Mio abgegebenen Packungen (verschreibungspflichtig) im Jahr bei Apotheken 1.5 Mio Aufträge bei Laboren
  • als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift
  •  

ZIELSETZUNG

Ziel dieses Fördertatbestandes ist es, die IT- bzw. Cybersicherheit in Krankenhäusern, die nicht zu den kritischen Infrastrukturen gehören sowie in Hochschulkliniken zu verbessern. Durch die zunehmende Digitalisierung und die damit verbundenen Prozesse sollen deshalb auch Krankenhäuser, die nicht zur kritischen Infrastruktur nach dem BSI-Gesetz (BSI-KritisV-Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) gehören, berücksichtigt werden.

Dabei sind sichere IT-Systeme und die darin verarbeiteten Informationen in der Gesundheitsversorgung von höchster Bedeutung. Die störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse muss sichergestellt sein. Gleiches betrifft auch die Authentizität der Informationen.

ANFORDERUNGEN MUSS UND KANN

Die Anforderungen und darin beispielhaft genannten Sicherheitssysteme sind nicht ausschließlich einem der Bereiche Prävention, Detektion, Mitigation, Response oder Awareness zuzuordnen. So kann eine einzelne Anwendung mehrere Bereiche abdecken.

Das Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit muss sich einem der folgenden Ziele oder einer Kombination davon widmen. Zudem gibt es Kann-Anforderungen für die Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit.

Prävention

Zu bedenken sind unter anderem:

  • Systeme zur Zonierung von Netzwerken
  • Next Generation Firewalls
  • sichere Authentisierungssysteme
  • MicroVirtualisierung/Sandbox-Systeme
  • Schnittstellen-Kontrolle
  • Intrusion Prevention Systeme
  • Network Access Control
  • Schwachstellenscanner
  • Softwareversionsmanagement
  • Datenschleusen
  • Datendioden
  • VPN-Systeme
  • verschlüsselte Datenübertragung
  • verschlüsselte mobile Datenträger
  • Etablierung ISMS
  •  

Detektion

Zu bedenken sind unter anderem:

  • Security Operation Center
  • Log Management Systeme
  • Security Information Event Management Systeme
  • Intrusion Detection Systeme
  • lokaler Schadsoftwareschutz mit zentraler Steuerung
  • Schadsoftwareschutz in Mailsystemen bzw. bei Mailtransport
  •  

Awareness

Steigerung und Aufrechterhaltung der Awareness gegenüber Informationssicherheits-Vorfällen bzw. der Bedeutung von IT-/Cybersicherheit (u.a. regelmäßige Risikoanalysen, Schulungsmaßnahmen, Informationskampagnen, Awareness-Messungen).

Patientendatenschutzgesetz: Ab Januar 2022 gelten auch für Krankenhäuser, welche nicht als KRITIS definiert sind, entsprechende Anforderungen, die im Sozialgesetzbuch (SGB) Fünftes Buch (V) – Gesetzliche Krankenversicherung – (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477) beschrieben sind (§ 75c IT-Sicherheit in Krankenhäusern). Diese Anforderungen lassen sich mit Hilfe eines branchenspezifischen Sicherheitsstandards (B3S) erfüllen.

Mit der Ende Juni 2017 in Kraft getretenen Änderung der KRITIS-Verordnung wird jetzt für alle KRITIS-Sektoren klar geregelt, inwiefern sie unter die Vorgaben des IT-Sicherheitsgesetzes (IT-SiG) fallen. KRITIS steht für „Kritische Infrastrukturen“ und meint Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Beeinträchtigungen Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.

Bislang existierte die Festlegung für die Sektoren Energie, Informationstechnik & Telekommunikation und Wasser & Ernährung (sog. „1. Korb“). Jetzt wurden die Kriterien für Gesundheit, Finanz- & Versicherungswesen und Transport & Verkehr („2. Korb“) bestimmt und das IT-Sicherheitsgesetz somit final umgesetzt.

WAS IST ZU TUN?

Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden.

Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen, so gelten zum Beispiel:

  • Fallzahlen von 30.000 vollstationären Patienten pro Jahr bei Kliniken und Krankenhäusern,
  • ca. 4.7 Mio abgegebenen Packungen (verschreibungspflichtig) im Jahr bei Apotheken
  • 1.5 Mio Aufträge bei Laboren

als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift.

Alle Unternehmen und Organisationen, die vom IT-Sicherheitsgesetz betroffen sind, sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) umzusetzen und nachzuweisen.

Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen (ISO/IEC 27001), oder die vom BSI alternativ anerkannten „Branchenspezifische Sicherheitsstandards“ (B3S) zugelassen.

Die Vorgehensweise zur ISMS-Einführung wird in unserer Zertifizierungsschulung erklärt.

Ergänzend dazu unterstützen wir Sie in einer Reihe von projektbegleitenden Workshops bei der Implementierung des ISMS bis zur Zertifizierungsreife bzw. zum Auditbericht für das BSI, um die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen – weitere Informationen finden Sie unter Schulungen.

Die Termine können dabei individuell auf die Ziele der ISMS-Einführung abgestimmt werden, abhängig von der Verfügbarkeit eigener Ressourcen. Ein Projektplan wird nach Klärung der Zielsetzung gemeinsam erstellt.