T IoT

BSI KRITIS-Verordnung verstehen und umsetzen: So erfüllen Sie die Anforderungen des Sicherheitsgesetzes

Kritische Infrastrukturen sind das Rückgrat unserer modernen Gesellschaft. Sie sichern Stromversorgung, Gesundheitsversorgung, Kommunikation und viele weitere essenzielle Bereiche. Damit diese Systeme auch in Krisensituationen stabil und funktionsfähig bleiben, gelten für ihre Betreiber strenge gesetzliche Vorgaben – zum Beispiel die BSI KRITIS-Verordnung. Worum es sich dabei genau handelt und welche Verpflichtungen sich aus ihr ergeben, erfahren Sie in diesem Artikel.

In Kürze

Die BSI KRITIS-Verordnung definiert, welche Unternehmen und Anlagen in Deutschland als kritische Infrastrukturen gelten und verpflichtet sie zu besonderen Sicherheitsmaßnahmen.
Betroffene Betreiber müssen IT-Sicherheitsstandards nach Stand der Technik umsetzen, Vorfälle unverzüglich an das BSI melden und regelmäßige Nachweise erbringen.
Ziel ist es, die Versorgungssicherheit in Bereichen wie Energie, Gesundheit, Verkehr oder IT trotz wachsender Cyberbedrohungen zu gewährleisten.

Neue Standards für kritische Infrastrukturen: BSI KRITIS-Verordnung

Eine neue Bedrohungslage setzt auch ein neues Sicherheitsverständnis voraus. Die BSI KRITIS-Verordnung – auch bekannt als Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI = Bundesamt für Sicherheit in der Informationstechnik) oder kurz BSI KritisV – ist ein zentrales Regelwerk, das genau dieses Sicherheitsverständnis sowie zugehörige Schutzmaßnahmen vorantreiben soll. Die Verordnung legt fest, welche Anlagen, Systeme und Unternehmen in Deutschland als besonders relevant für die Versorgung der Allgemeinheit gelten und wie diese Infrastrukturen im Hinblick auf ihre Informationssicherheit und Funktionsfähigkeit gestärkt werden müssen.

In Kraft getreten ist die KRITIS-Verordnung bereits am 3. Mai 2016. Seitdem wurde sie jedoch mehrfach geändert beziehungsweise erweitert: Die erste Änderungsverordnung aus dem Jahr 2017 nahm weitere Sektoren wie Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr in die Pflicht, während die Änderung der BSI KRITIS-Verordnung aus dem Jahr 2022 inhaltliche Anpassungen (beispielsweise der Schwellenwerte) vorsah. 2023 und 2024 erfolgten weitere Änderungen, welche die KRITIS-Verordnung jeweils um zusätzliche Anlagen erweiterte.

Ähnlicher Use Case oder noch Fragen?

Einfach das Kontaktformular ausfüllen – wir melden uns dann schnellstmöglich bei Ihnen.

Kontaktieren Sie uns

So unterscheiden sich die KRITIS-Verordnung und die Richtlinie NIS2

Nicht zu verwechseln ist die BSI-KritisV mit der sogenannten NIS2-Richtlinie, auch wenn beide ähnliche Ziele verfolgen und sich durchaus ergänzen. Die BSI KRITIS-Verordnung basiert auf deutschem Recht und richtet sich gezielt an Betreiber kritischer Infrastrukturen. NIS2 ist hingegen eine EU-weite Richtlinie, die deutlich breiter greift und auch viele Unternehmen außerhalb klassischer KRITIS-Sektoren in die Pflicht nimmt.

Diese Unternehmen zählen laut Verordnung als kritische Infrastruktur

Wie bereits erwähnt richtet sich die BSI KRITIS-Verordnung an Betreiber kritischer Infrastrukturen, kurz „KRITIS“, die für das Gemeinwesen eine zentrale Rolle spielen. Ob ein Unternehmen unter diese Verordnung fällt, hängt allerdings nicht allein von seiner Größe ab, sondern von seiner konkreten Funktion innerhalb bestimmter Sektoren und dem Erreichen definierter Schwellenwerte. Ein Unternehmen gehört zur KRITIS, wenn es …

... in einem der in der Verordnung genannten Sektoren tätig ist, zum Beispiel Energie, Informationstechnik, Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen, Wasser, Ernährung oder Siedlungsabfallentsorgung.
... die in der KRITIS-Verordnung jeweils für den Sektor festgelegten Schwellenwerte überschreitet (zum Beispiel Netzkapazitäten, tägliche Verarbeitungsmengen, versorgte Personenanzahl).
... eine Anlage betreibt, die als versorgungsrelevant eingestuft ist, und/oder zur Versorgung der Allgemeinheit beiträgt und damit als systemkritisch gilt.

Immer auf dem neuesten Stand

Die KRITIS-Verordnung erfährt regelmäßig Änderungen, um technologische Entwicklungen und Gefährdungslagen zu berücksichtigen. Neue Versionen schließen unter Umständen weitere Unternehmen ein. Den aktuellen Stand der Verordnung finden Sie jeweils im BGBL (Bundesgesetzblatt).

Pflichten und Anforderungen gemäß BSI KRITIS-Verordnung

Doch was genau sieht die BSI KRITIS-Verordnung vor? Grob gesagt verpflichtet sie betroffene Unternehmen dazu, ihre IT-Systeme umfassend abzusichern und auch bei technischen Störungen, Cyberangriffen oder anderen sicherheitsrelevanten Ereignissen den Betrieb sicherzustellen. Grundlage für viele der Maßnahmen ist der sogenannte BSI IT-Grundschutz, der als Orientierung für die Umsetzung gilt. Die Anforderungen betreffen nicht nur technische Systeme, sondern auch organisatorische Abläufe, Meldeprozesse und die Zusammenarbeit mit dem BSI.

Betreiber müssen angemessene organisatorische und technische Sicherheitsmaßnahmen umsetzen, die dem Stand der Technik entsprechen.
Es besteht die Verpflichtung zur unverzüglichen Meldung erheblicher IT-Störungen oder Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik.
Unternehmen müssen regelmäßig in Form von Prüfberichten Nachweise über umgesetzte Sicherheitsmaßnahmen erbringen.
Die Betreiber sind verpflichtet, eine Kontaktstelle zu benennen, die rund um die Uhr erreichbar ist und dem BSI als direkter Ansprechpartner dient.
Für bestimmte Anlagen und Systeme ist eine Risikobewertung durchzuführen, die potenzielle Bedrohungen und Schwachstellen identifiziert.
Betreiber müssen sicherstellen, dass auch Dienstleister und Dritte, die an den betrieblichen Prozessen beteiligt sind, entsprechende Sicherheitsanforderungen erfüllen.

IoT-Lösungen für sichere und regelkonforme kritische Infrastrukturen

Digitale Sicherheit setzt technische Stabilität voraus. Nutzen Sie die leistungsstarken IoT-Netztechnologien und maßgeschneiderten Tarife der Deutschen Telekom, um Ihre kritischen Infrastrukturen zukunftssicher und konform mit der KRITIS-Verordnung zu gestalten.

Warum die BSI KRITIS-Verordnung wichtig und notwendig ist

Die teils strengen und herausfordernden Anforderungen haben dabei einen ernsten Hintergrund: In einer zunehmend digitalisierten und vernetzten Welt steigt die Abhängigkeit von stabil funktionierenden Systemen, während die Bedrohung durch Cyberangriffe, technische Störungen und menschliche Fehlhandlungen gleichzeitig steigt. Ausfälle kritischer Infrastruktur hätten weitreichende Folgen für Wirtschaft, Staat und Bevölkerung. Die KRITIS-Verordnung schafft deshalb einheitliche und verbindliche Sicherheitsstandards, die Unternehmen helfen, ihre Informationssicherheit strukturiert und vorausschauend zu stärken.

Außerdem sorgt die Verordnung für klare rechtliche Rahmenbedingungen – unterlegt durch das Sicherheitsgesetz – und unterstützt Betreiber kritischer Infrastruktur dabei, frühzeitig Risiken zu erkennen, geeignete Sicherheitsmaßnahmen umzusetzen und ihre Versorgungssysteme widerstandsfähig auszurichten. Dadurch trägt sie dazu bei, den Wirtschaftsstandort Deutschland zu schützen und das Vertrauen in digitale Prozesse zu sichern. Die KRITIS-Verordnung ist damit eine tragende Säule der nationalen Cybersicherheitsstrategie und unverzichtbar für den Schutz moderner kritischer Infrastrukturen.

6 Punkte, die Sie bei der Umsetzung der KRITIS-Verordnung beachten sollten

Um die Vorgaben der BSI KRITIS-Verordnung nicht nur formal zu erfüllen, sondern auch wirksam im betrieblichen Alltag zu verankern, ist ein strukturiertes Vorgehen entscheidend. Neben den bereits genannten gesetzlichen Pflichten und technischen Maßnahmen spielen strategische, prozessuale und personelle Aspekte eine ebenso wichtige Rolle. Achten Sie auf folgende Punkte, um Ihre Organisation nachhaltig resilient aufzustellen:

Binden Sie die Geschäftsleitung aktiv ein!
Die Verantwortung für die Umsetzung der KRITIS-Anforderungen liegt auf oberster Ebene. Ohne klare Priorisierung durch das Management bleiben Sicherheitskonzepte wirkungslos.
Integrieren Sie Informationssicherheit in alle Geschäftsprozesse!
Sicherheitsmaßnahmen wirken nur, wenn sie fester Bestandteil der operativen Abläufe sind – von der Beschaffung über den Betrieb bis zur Wartung Ihrer Systeme.
Schulen Sie Ihre Mitarbeitenden regelmäßig!
Das Sicherheitsniveau hängt maßgeblich vom Verhalten Ihrer Teams ab. Sensibilisierung und Awareness-Trainings müssen deshalb gezielt und kontinuierlich stattfinden.
Nutzen Sie etablierte Managementsysteme!
Orientieren Sie sich an Standards wie ISO 27001 oder branchenspezifischen Richtlinien, um Ihre Sicherheitsarchitektur strukturiert aufzubauen und regelmäßig zu überprüfen.
Dokumentieren Sie alle Maßnahmen nachvollziehbar!
Eine lückenlose Dokumentation erleichtert interne Audits, externe Prüfungen und den Nachweis gegenüber dem BSI. Sie ist Grundlage für Transparenz und Compliance.
Behalten Sie Änderungen und Anpassungen im Blick!
Die KRITIS-Verordnung unterliegt dynamischen Entwicklungen. Passen Sie Ihre Prozesse frühzeitig an neue Vorgaben an.

Telekom IoT: Zukunftssichere Lösungen für kritische Infrastrukturen

Die IoT-Lösungen der Deutschen Telekom schaffen die optimale Grundlage, um die Anforderungen der BSI KRITIS-Verordnung digital, effizient und zukunftssicher umzusetzen. Durch intelligente Sensorik, sichere Konnektivität und Echtzeitdatenanalyse erkennen Sie kritische Zustände frühzeitig, optimieren Ihre Betriebsabläufe und erhöhen nachhaltig die Resilienz Ihrer Infrastrukturen.

IoT Use Cases & Referenzen

Luftaufnahme einer Stadt mit einem digitalen Netzwerk aus blauen Linien, das die Digitalisierung darstellt.

IoT Use Cases & Referenzen

Das Internet of Things (IoT) verändert Branchen mit smarten Lösungen für mehr Effizienz, Nachhaltigkeit und Komfort. Entdecken Sie, praxisnahe Use Cases, die den digitalen Wandel greifbar machen.

Mehr zu den IoT Use Cases & Referenzen

Annalena Rauen

Marketing Managerin IoT

2016 hat Anna erstmalig IoT-Themen bei der Deutschen Telekom begleitet. Seitdem betreut sie Kunden Use Cases unterschiedlichster Branchen – immer fokussiert auf den Nutzen, den das Internet of Things generieren kann. Im IoT-Blog beschreibt sie echte Anwendungsfälle und welchen Mehrwert diese Innovationen für die Marktakteure, deren Geschäftsmodelle oder gar ganze Branchen bieten.

Neugierig? Jetzt mehr erfahren:

IoT-Sicherheit: Sicherheitslücken erkennen und schließen

In modernen Unternehmen kommunizieren immer mehr Geräte miteinander in Echtzeit. Doch je stärker die Vernetzung, desto größer die Angriffsfläche, denn jedes IoT-Gerät stellt ein potenzielles Einfallstor ins Unternehmensnetzwerk dar. Erfahren Sie hier, welche Risiken bestehen und wie Sie Ihre Systeme wirksam schützen können.

Kritische Infrastrukturen (KRITIS): Schutz, Pflichten und betroffene Unternehmen

Kritische Infrastrukturen (kurz: KRITIS) sind das Rückgrat unseres gesellschaftlichen und wirtschaftlichen Lebens. Sie stellen sicher, dass Strom zuverlässig fließt, medizinische Versorgung zugänglich ist, Zahlungen reibungslos abgewickelt werden und vieles mehr. Erfahren Sie mehr in diesem Artikel!

Zustandsüberwachung: Eine Einführung in die moderne Wartungstechnologie

Mit smarter Echtzeitkontrolle erkennen Sie Probleme, bevor sie entstehen – und verwandeln Risiken in Chancen. So bleiben Sie in einer digitalisierten Welt stets einen Schritt voraus.