Kritische Infrastrukturen (KRITIS)

Nach der Gliederung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe werden kritische Infrastrukturen in neun Sektoren mit nachfolgenden Branchen aufgeteilt:

  • Energienetzbetreiber
  • Ernährung (Lebensmittelhandel)
  • Finanz- und Versicherungswesen
  • Gesundheitswesen
  • Informationstechnik und Telekommunikation
  • Medien und Kultur
  • Staat und Verwaltung
  • Transport und Verkehr
  • Wasserversorgung

Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) dieser Branchen sind nach dem IT-Sicherheitsgesetz dazu verpflichtet bestimmte IT- Mindeststandard zur Vermeidung entsprechender Vorfälle einzuhalten.

Als kritische Infrastruktur wird dabei

  • eine Anlage,
  • ein System
  • oder ein Teil davon

bezeichnet, das von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen ist und deren/dessen Störung/Zerstörung erhebliche Auswirkungen auf

  • die Gesundheit,
  • die Sicherheit sowie
  • des wirtschaftlichen und /oder sozialen Wohlergehens

der Bevölkerung hätte.


KRITIS-Unternehmen müssen Störungen der IT-Infrastruktur an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden und einen Ansprechpartner für das BSI benennen.
Nach BSIG §8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen und dem seit 2015 gültigen IT-Sicherheitsgesetz ist müssen KRITIS Betreiber die Anforderungen an den technischen Stand der von Ihnen betriebenen Anlagen und an die Informationssicherheit gewährleisten.
Die Weiterentwicklung des IT-Sicherheitsgesetztes (2.0) im Referentenentwurf des BMI vom 27.3.2019 lässt weitere/neue Anforderungen für die Bereiche erkennen.

Dies sind z.B.

  • Infrastrukturen im besonderen öffentlichen Interesse
    • Rüstungsindustrie
    • Kultur und Medien
    • Anlagen und Systeme von Unternehmen aus den DAX-Klassifizierungen
  • Erhöhung von Geldbußen bei Verstößen gegen gesetzliche Forderungen
  • Mindeststandards für KRITIS-Kernkompetenzen
  • Einrichtung von Systemen zur Angriffserkennung
  • Erweiterte BSI-Befugnisse

Für die Umsetzung der Anforderungen aus dem §8a des BSI Gesetzes und des IT-Sicherheitsgesetzes können KRITIS-Betreiber und Ihre Verbände branchenspezifische Sicherheitsstandards (B3S) entwickeln und diese durch das BSI prüfen und genehmigen lassen.


Betreiber kritischer Infrastrukturen (KRITIS) – was ist in der Praxis zu tun?

Alle diese Anforderungen und Vorgaben erfordern den Aufbau und nachhaltigen Betrieb eines Informationssicherheitsmanagementsystems.

Die GRC-, Datenschutz- & ISMS Software QSEC unterstützt den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems nach den Anforderungen

  • der ISO/IEC 27001, und
  • des IT-Grundschutzes (Ablösung GS-Tool), einschließlich
  • der für die jeweilige KRITIS Branche gültigen branchenspezifischen B3S Standards


Die Analyse und Ermittlung der Schwachstellen und Risiken einschließlich der Risikobewertung, Risikobegegnung und der Umsetzung von entsprechenden Maßnahmen wird von QSEC für KRITIS Bertreiber komplett nach den Anforderungen der gesetzlichen Vorgaben und der geltenden Standards komfortabel über Workflow-, Wizard und Task-Unterstützung unterstützt und vereinfacht.

Ferner erleichtern umfangreicher Content, wie Musterdokumente, Maßnahmenvorschläge auf Basis Best Practice das arbeiten und die kosten- und ressourcenoptimierte Umsetzung der Aufgabenstellungen für KRITIS-Betreiber.

7

B3S mit QSEC

7

QSEC Online-Demo