KRITIS steht für "Kritische Infrastrukturen" und bezeichnet Organisationen und Einrichtungen, die von wesentlicher Bedeutung für das staatliche Gemeinwesen sind. Der Ausfall oder die Beeinträchtigung dieser Infrastrukturen würde erhebliche Versorgungsengpässe, Gefährdungen der öffentlichen Sicherheit oder andere dramatische Folgen nach sich ziehen. Dazu gehören unter anderem die Bereiche Energie, Wasser, Ernährung, Informationstechnik, Telekommunikation, Transport, Gesundheit und Finanzwesen.

Der Schutz kritischer Infrastrukturen ist von höchster Priorität, da diese Systeme maßgeblich für die Aufrechterhaltung des gesellschaftlichen und wirtschaftlichen Lebens verantwortlich sind. Angriffe auf KRITIS können schwerwiegende Auswirkungen auf Millionen von Menschen haben – zum Beispiel bei Stromausfällen, Ausfällen der Wasserversorgung oder der Unterbrechung von Kommunikationsnetzen.

In Zeiten zunehmender Digitalisierung, vernetzter Produktionsprozesse und globaler Bedrohungslagen steigen die Risiken für KRITIS-Betreiber. Cyberangriffe, Naturkatastrophen oder technische Störungen können kritische Systeme zum Erliegen bringen. Daher ist es essenziell, dass Unternehmen und Organisationen, die zu den KRITIS-Betreibern gehören, umfassende Sicherheitsvorkehrungen treffen und sich den regulatorischen Anforderungen stellen.

KRITIS umfasst insgesamt sieben Sektoren, die in Deutschland vom Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert sind. Dazu gehören:

1. Energie: Strom-, Gas- und Kraftstoffversorgung, einschließlich Energieerzeugung, -verteilung und -speicherung.
2. Wasser: Trinkwasserversorgung und Abwasserentsorgung.
3. Ernährung: Produktion, Verarbeitung und Verteilung von Lebensmitteln.
4. Informationstechnik und Telekommunikation: Telekommunikationsnetze, Internetknotenpunkte, IT-Dienstleister und Betreiber von Rechenzentren.
5. Transport und Verkehr: Eisenbahnen, Flughäfen, Häfen, öffentliche Verkehrsmittel und Logistikdienstleister.
6. Gesundheit: Krankenhäuser, Labore, Arzneimittelversorgung und Rettungsdienste.
7. Finanz- und Versicherungswesen: Banken, Börsen, Zahlungsverkehrsinfrastrukturen und Versicherungsunternehmen.

Ob ein Unternehmen offiziell als KRITIS-Betreiber eingestuft wird, hängt von branchenspezifischen Schwellenwerten ab, die im BSI-Gesetz und den dazugehörigen Rechtsverordnungen festgelegt sind. Diese Schwellenwerte richten sich beispielsweise nach dem Versorgungsvolumen oder der Anzahl versorgter Personen.

KRITIS-Betreiber unterliegen besonderen gesetzlichen Verpflichtungen, insbesondere durch das IT-Sicherheitsgesetz (IT-SiG) und die BSI-Kritisverordnung. Zu den wichtigsten Pflichten gehören:

• Einrichtung angemessener technischer und organisatorischer Maßnahmen (TOM), um die IT-Sicherheit und die Verfügbarkeit der kritischen Dienstleistungen zu gewährleisten.
• Meldepflicht gegenüber dem BSI bei erheblichen IT-Sicherheitsvorfällen, die die Erbringung der kritischen Dienstleistung gefährden könnten.
• Nachweispflicht: KRITIS-Betreiber müssen dem BSI in regelmäßigen Abständen nachweisen, dass sie die erforderlichen Sicherheitsvorkehrungen umgesetzt haben. Der Nachweis kann in Form eines Audits, einer Zertifizierung oder einer Sicherheitsüberprüfung erfolgen.
• Benennung eines Ansprechpartners für IT-Sicherheit gegenüber dem BSI.
• Teilnahme an branchenspezifischen Informationsaustauschen zu aktuellen Bedrohungslagen und Sicherheitsrisiken.

Darüber hinaus müssen sich KRITIS-Betreiber kontinuierlich über neue Bedrohungen informieren, ihre Sicherheitskonzepte regelmäßig anpassen und präventive Maßnahmen umsetzen, um den gesetzlichen Anforderungen dauerhaft gerecht zu werden.

KRITIS-Betreiber sind aufgrund ihrer zentralen Bedeutung für das öffentliche Leben und die Wirtschaft ein besonders attraktives Ziel für Cyberangriffe. Zu den größten Risiken gehören:

• Cyberangriffe durch organisierte Kriminalität, staatlich gesteuerte Akteure oder sogenannte Hacktivisten.
• Ransomware-Angriffe, die kritische Systeme verschlüsseln und den Betrieb lahmlegen.
• Technische Störungen und Systemausfälle durch veraltete oder unzureichend gewartete IT-Systeme.
• Angriffe über die Lieferkette, bei denen Schwachstellen von Dienstleistern oder Zulieferern ausgenutzt werden.
• Mangelnde Segmentierung von IT- und OT-Netzwerken, die Angreifern die Ausbreitung erleichtert.
• Unzureichend gesicherte Fernzugriffe oder unsichere Wartungsschnittstellen.
• Ausfall von Schlüsselpersonen oder mangelnde Schulung des Personals im Umgang mit Sicherheitsvorfällen.

KRITIS-Betreiber müssen sich der besonderen Bedrohungslage bewusst sein und geeignete Schutzmaßnahmen etablieren, um diesen Risiken wirksam zu begegnen.

Unternehmen, die als KRITIS-Betreiber eingestuft sind oder die Vermutung haben, betroffen zu sein, sollten strukturiert vorgehen, um die gesetzlichen Anforderungen zu erfüllen und ihre Sicherheitslage zu verbessern. Wichtige Schritte sind:

• Durchführung einer Betroffenheitsanalyse, um zu prüfen, ob die branchenspezifischen Schwellenwerte erreicht werden.
• Entwicklung eines IT-Sicherheitskonzepts, das technische und organisatorische Schutzmaßnahmen umfasst.
• Aufbau eines effektiven Informationssicherheitsmanagementsystems (ISMS), um Sicherheitsprozesse systematisch zu steuern.
• Regelmäßige Durchführung von Risikoanalysen und Sicherheitsüberprüfungen.
• Planung und Durchführung von Notfallübungen und Krisenmanagement-Trainings.
• Sensibilisierung und Schulung der Mitarbeitenden zu sicherheitsrelevanten Themen.
• Etablierung einer transparenten Kommunikation mit dem BSI und anderen relevanten Behörden.

Die Sicherheitsmaßnahmen sollten nicht nur auf die Erfüllung gesetzlicher Vorgaben ausgerichtet sein, sondern auch langfristig die Resilienz des Unternehmens stärken.

Auch Unternehmen, die formell nicht als KRITIS-Betreiber eingestuft sind, profitieren davon, sich mit den Sicherheitsanforderungen für Kritische Infrastrukturen auseinanderzusetzen. Die gesetzlichen Vorgaben und bewährten Schutzmaßnahmen bieten eine wertvolle Orientierung, um die eigene Sicherheitsstrategie zu verbessern.

Insbesondere Zulieferer, Dienstleister oder Partner von KRITIS-Betreibern geraten zunehmend in den Fokus der Sicherheitsanforderungen, da Angreifer häufig über die Lieferkette in kritische Systeme eindringen. Darüber hinaus erwarten Geschäftspartner und Kunden ein hohes Sicherheitsniveau, auch wenn das eigene Unternehmen nicht direkt zur kritischen Infrastruktur zählt.

Die Etablierung von Sicherheitsstandards, wie sie für KRITIS-Betreiber vorgesehen sind, stärkt die Widerstandsfähigkeit, minimiert das Risiko von Cyberangriffen und erhöht die Wettbewerbsfähigkeit. Auch im Hinblick auf künftige regulatorische Entwicklungen kann es vorteilhaft sein, frühzeitig Strukturen zu schaffen, die eine flexible Anpassung ermöglichen.

Ein proaktiver Umgang mit Sicherheitsanforderungen – unabhängig von einer formellen KRITIS-Einstufung – zeigt Verantwortung und stärkt das Vertrauen von Kunden, Partnern und Aufsichtsbehörden.