Zum Inhalt springen

KRITIS Compliance

Kritische Infrastrukturen — BSI / KRITIS

Das KRITIS-Regime nach BSIG und BSI-KritisV verpflichtet Betreiber kritischer Infrastrukturen zu umfassenden IT-Sicherheitsmaßnahmen, Meldepflichten und regelmäßigen Nachweisen. Dieses Modul deckt die Anforderungen ab und mapped sie zu DORA.

Management-Zusammenfassung

  • 15 KRITIS-Anforderungen in 5 Bereichen
  • Organisatorische Anforderungen nach §8d BSIG
  • Meldepflichten und Angriffserkennung nach §8e/f BSIG
  • Nachweispflichten nach §8a BSIG (alle 2 Jahre)
  • Sektorspezifische Anforderungen (Finanzen, Energie, Gesundheit, TK)
  • Mapping zu DORA Art. 5-30 und MaRisk

Sektoren kritischer Infrastrukturen

Energie

Strom, Gas, Öl, Fernwärme

IT & TK

Telekommunikation, Rechenzentren

Transport & Verkehr

Luft, Schiene, Straße, Wasser

Gesundheit

Krankenhäuser, Labore

Wasser & Ernährung

Trinkwasser, Lebensmittelversorgung

Finanzen & Versicherungen

Banken, Börsen, Versicherer

Siedlungsabfall

Abfallentsorgung, -verwertung

KRITIS Anforderungen (15)

Organisatorische Anforderungen

KRITIS-001

Feststellung als KRITIS-Betreiber (§8d BSIG)

Betreiber kritischer Infrastrukturen haben der BSI meldepflichtige IT-Systeme innerhalb von 6 Monaten nach Überschreiten der Schwellwerte zu benennen.

Umsetzung

Selbsterklärung ausfüllen, Schwellenwertprüfung, Meldeprozess an BSI etablieren

Selbsterklärung nach §8d BSIG Meldebestätigung BSI Schwellenwert-Berechnungen
DORA: DORA Art. 3 — Anwendungsbereich Finanzinstitute
MaRisk: AT 7 — IKT-Risiken (KWG-Institute)
KRITIS-002

Kontaktstelle für die BSI-Meldepflicht (§8d Abs. 4 BSIG)

KRITIS-Betreiber haben eine Kontaktstelle für die Meldung von IT-Störungen zu benennen und dem BSI mitzuteilen.

Umsetzung

Kontaktstelle benennen, Meldeweg BSI etablieren, Vertretungsregelung

Meldung Kontaktstelle an BSI Vertretungsregelung Erreichbarkeitskonzept
DORA: DORA Art. 21 — Zentrale Kontaktstelle
KRITIS-015

Lieferketten- und Drittanbietersicherheit

KRITIS-Betreiber müssen auch die IT-Sicherheit ihrer wesentlichen Zulieferer und Dienstleister berücksichtigen.

Umsetzung

Lieferanten-Sicherheitsbewertung, vertragliche Sicherheitsanforderungen, Monitoring

Lieferantenbewertungen Sicherheitsklauseln Auditberichte Drittanbieter
DORA: DORA Art. 28-30 — IKT-Drittparteienrisiko

IT-Sicherheitsgesetz

KRITIS-003

Meldepflicht für IT-Störungen (§8e BSIG)

Betreiber kritischer Infrastrukturen müssen erhebliche IT-Störungen, die zu einem Ausfall oder zu einer Beeinträchtigung der Verfügbarkeit der kritischen Infrastruktur führen können, unverzüglich an das BSI melden.

Umsetzung

Meldekriterien definieren, Incident-Response-Prozess, Meldeformular BSI, Fristen 24h/72h

Meldeprozess Erfolgte Meldungen BSI-Rückmeldungen
DORA: DORA Art. 18 — Meldepflicht für IKT-Vorfälle
KRITIS-004

Einsatz von IT-Sicherheitssystemen (§8f BSIG)

Betreiber kritischer Infrastrukturen sind verpflichtet, IT-Sicherheitssysteme (Angriffserkennungssysteme) einzusetzen.

Umsetzung

IDS/IPS-Systeme, SIEM-Lösung, Angriffserkennung, Protokollierung und Auswertung

SIEM-Konzept Angriffserkennungs-Nachweise Penetrationstest-Berichte
DORA: DORA Art. 10 — IKT-Erkennung
KRITIS-006

Nachweise und Audits (§8a BSIG)

Betreiber kritischer Infrastrukturen haben alle zwei Jahre die Einhaltung der IT-Sicherheitsanforderungen nachzuweisen, z.B. durch Zertifizierung nach ISO 27001 oder BSI IT-Grundschutz.

Umsetzung

ISO 27001-Zertifizierung oder BSI IT-Grundschutz-Audit, alle 2 Jahre Wiederholung

Zertifikate Prüfberichte Audit-Bestätigungen
DORA: DORA Art. 5(7) — IKT-Prüfung
KRITIS-007

BSI-Sicherheitsempfehlungen (§7 BSIG)

Betreiber kritischer Infrastrukturen haben BSI-Sicherheitsempfehlungen zu beachten und umzusetzen, insbesondere bei schwerwiegenden Sicherheitslücken.

Umsetzung

BSI-Empfehlungsmonitoring, Umsetzungsprozess, Eskalation bei Nichtumsetzung

BSI-Empfehlungs-Tracker Umsetzungsnachweise Eskalationsprotokolle
DORA: DORA Art. 8 — Präventionsmaßnahmen
KRITIS-013

Bußgeldvorschriften und Sanktionen (§14 BSIG)

Bei Verstößen gegen die Meldepflichten, die Pflicht zum Einsatz von Angriffserkennungssystemen oder die Nachweispflichten drohen Bußgelder.

Umsetzung

Compliance-Kalender, Fristenüberwachung, Eskalationsprozess bei Verstößen

Bußgeldrisikoanalyse Compliance-Statusberichte Geschäftsleitungsvorlagen
DORA: DORA Art. 45-46 — Sanktionen

BSI-KritisV

KRITIS-005

Schwellenwertprüfung und Selbstklassifizierung

Die Betreiber prüfen regelmäßig, ob die Schwellenwerte der BSI-KritisV erreicht oder überschritten werden.

Umsetzung

Jährliche Prüfung, Dokumentation der Berechnungsmethodik, Aktualisierung der Selbsterklärung

Schwellenwert-Berechnungen Selbsterklärungs-Update Prüfprotokolle
DORA: DORA Art. 3(1) — Klassifizierung
KRITIS-014

Dienstleistungsqualität und Resilienznachweise

KRITIS-Betreiber müssen die Resilienz ihrer Systeme nachweisen und dokumentieren, einschließlich Notfallübungen und Wiederanlauftests.

Umsetzung

Resilienznachweise dokumentieren, Notfallübungen durchführen, Wiederanlauftests protokollieren

Resilienznachweise Übungsprotokolle Wiederanlauftest-Berichte
DORA: DORA Art. 24 — Resilienztestprogramm

Sektorspezifisch

KRITIS-008

Sektor Finanzen — Meldepflichten für Banken (KWG, ZAG)

Kreditinstitute und Zahlungsinstitute haben Störungen und IT-Sicherheitsvorfälle zusätzlich zu den BSI-Meldungen auch an die BaFin zu melden.

Umsetzung

BaFin-Meldeverfahren, parallele Meldepflichten, Abgrenzung DORA/BSI-Meldungen

BaFin-Meldungen Abgrenzungsmatrix DORA-BSI-BaFin Meldefristen-Kalender
DORA: DORA Art. 18-20 — IKT-Vorfallmeldung
KRITIS-009

Sektor IT/TK — TK-Überwachungsverordnung

Telekommunikationsanbieter unterliegen zusätzlichen Sicherheitsanforderungen nach TKG und TKÜV.

Umsetzung

TK-Sicherheitskonzept, Netzüberwachung, Ausfallsicherheit

TK-Sicherheitskonzept Verfügbarkeitsberichte Auditnachweise
DORA: DORA Art. 9 — IKT-Schutzmaßnahmen (Netzwerksicherheit)
KRITIS-010

Sektor Energie — ENWG, StromNZV (IT-Sicherheit für Energienetze)

Betreiber von Energieversorgungsnetzen müssen IT-Sicherheitsmaßnahmen nach BSI-Standards und EnWG umsetzen.

Umsetzung

IT-Sicherheitskonzept für Leit- und Steuerungssysteme, BSI-Kompendium

IT-Sicherheitskonzept BSI-Kompendium-Umsetzung Prüfberichte BNetzA
DORA: DORA Art. 9(2) — Schutz von IKT-Systemen
KRITIS-011

Sektor Gesundheit — Krankenhäuser (KHSDV, KRITIS-Krankenhäuser)

Krankenhäuser mit einer bestimmten Anzahl von Betten gelten als KRITIS und müssen erweiterte IT-Sicherheitsanforderungen erfüllen.

Umsetzung

IT-Sicherheitskonzept Krankenhaus, BSI-Standards, Notfallversorgung sicherstellen

Sicherheitskonzept Notfallplan BSI-Audit-Berichte
DORA: DORA Art. 11 — BCM/Notfallmanagement

IT-Sicherheitsgesetz 3.0

KRITIS-012

IT-Sicherheitsgesetz 3.0 — Erweiterte Meldepflichten

Das IT-Sicherheitsgesetz 3.0 erweitert die Meldepflichten auf erhebliche IT-Sicherheitsvorfälle mit möglichen Auswirkungen auf die Versorgungssicherheit.

Umsetzung

Erweiterte Meldekriterien definieren, Meldeketten erweitern, BSI-Kommunikation

Meldeprozess 3.0 Erweiterte Kriterienliste Meldestatistiken
DORA: DORA Art. 18-20 — Erweiterte Meldepflichten

Rechtlicher Hinweis: Diese Inhalte stellen eigenständige Interpretationen dar. Keine Rechtsberatung. Verbindlich sind die gesetzlichen Regelungen des BSIG und der BSI-KritisV.