BSI KRITIS-Verordnung verstehen und umsetzen: So erfüllen Sie die Anforderungen des Sicherheitsgesetzes

Kritische Infrastrukturen sind das Rückgrat unserer modernen Gesellschaft. Sie sichern Stromversorgung, Gesundheitsversorgung, Kommunikation und viele weitere essenzielle Bereiche. Damit diese Systeme auch in Krisensituationen stabil und funktionsfähig bleiben, gelten für ihre Betreiber strenge gesetzliche Vorgaben – zum Beispiel die BSI KRITIS-Verordnung. Worum es sich dabei genau handelt und welche Verpflichtungen sich aus ihr ergeben, erfahren Sie in diesem Artikel.

Eine neue Bedrohungslage setzt auch ein neues Sicherheitsverständnis voraus. Die BSI KRITIS-Verordnung – auch bekannt als Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI = Bundesamt für Sicherheit in der Informationstechnik) oder kurz BSI KritisV – ist ein zentrales Regelwerk, das genau dieses Sicherheitsverständnis sowie zugehörige Schutzmaßnahmen vorantreiben soll. Die Verordnung legt fest, welche Anlagen, Systeme und Unternehmen in Deutschland als besonders relevant für die Versorgung der Allgemeinheit gelten und wie diese Infrastrukturen im Hinblick auf ihre Informationssicherheit und Funktionsfähigkeit gestärkt werden müssen.

In Kraft getreten ist die KRITIS-Verordnung bereits am 3. Mai 2016. Seitdem wurde sie jedoch mehrfach geändert beziehungsweise erweitert: Die erste Änderungsverordnung aus dem Jahr 2017 nahm weitere Sektoren wie Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr in die Pflicht, während die Änderung der BSI KRITIS-Verordnung aus dem Jahr 2022 inhaltliche Anpassungen (beispielsweise der Schwellenwerte) vorsah. 2023 und 2024 erfolgten weitere Änderungen, welche die KRITIS-Verordnung jeweils um zusätzliche Anlagen erweiterte. 

Wie bereits erwähnt richtet sich die BSI KRITIS-Verordnung an Betreiber kritischer Infrastrukturen, kurz „KRITIS“, die für das Gemeinwesen eine zentrale Rolle spielen. Ob ein Unternehmen unter diese Verordnung fällt, hängt allerdings nicht allein von seiner Größe ab, sondern von seiner konkreten Funktion innerhalb bestimmter Sektoren und dem Erreichen definierter Schwellenwerte. Ein Unternehmen gehört zur KRITIS, wenn es …

• ... in einem der in der Verordnung genannten Sektoren tätig ist, zum Beispiel Energie, Informationstechnik, Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen, Wasser, Ernährung oder Siedlungsabfallentsorgung.
• ... die in der KRITIS-Verordnung jeweils für den Sektor festgelegten Schwellenwerte überschreitet (zum Beispiel Netzkapazitäten, tägliche Verarbeitungsmengen, versorgte Personenanzahl).
• ... eine Anlage betreibt, die als versorgungsrelevant eingestuft ist, und/oder zur Versorgung der Allgemeinheit beiträgt und damit als systemkritisch gilt.

Doch was genau sieht die BSI KRITIS-Verordnung vor? Grob gesagt verpflichtet sie betroffene Unternehmen dazu, ihre IT-Systeme umfassend abzusichern und auch bei technischen Störungen, Cyberangriffen oder anderen sicherheitsrelevanten Ereignissen den Betrieb sicherzustellen. Grundlage für viele der Maßnahmen ist der sogenannte BSI IT-Grundschutz, der als Orientierung für die Umsetzung gilt. Die Anforderungen betreffen nicht nur technische Systeme, sondern auch organisatorische Abläufe, Meldeprozesse und die Zusammenarbeit mit dem BSI.

• Betreiber müssen angemessene organisatorische und technische Sicherheitsmaßnahmen umsetzen, die dem Stand der Technik entsprechen.
• Es besteht die Verpflichtung zur unverzüglichen Meldung erheblicher IT-Störungen oder Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik. 
• Unternehmen müssen regelmäßig in Form von Prüfberichten Nachweise über umgesetzte Sicherheitsmaßnahmen erbringen. 
• Die Betreiber sind verpflichtet, eine Kontaktstelle zu benennen, die rund um die Uhr erreichbar ist und dem BSI als direkter Ansprechpartner dient.
• Für bestimmte Anlagen und Systeme ist eine Risikobewertung durchzuführen, die potenzielle Bedrohungen und Schwachstellen identifiziert. 
• Betreiber müssen sicherstellen, dass auch Dienstleister und Dritte, die an den betrieblichen Prozessen beteiligt sind, entsprechende Sicherheitsanforderungen erfüllen. 

Die teils strengen und herausfordernden Anforderungen haben dabei einen ernsten Hintergrund: In einer zunehmend digitalisierten und vernetzten Welt steigt die Abhängigkeit von stabil funktionierenden Systemen, während die Bedrohung durch Cyberangriffe, technische Störungen und menschliche Fehlhandlungen gleichzeitig steigt. Ausfälle kritischer Infrastruktur hätten weitreichende Folgen für Wirtschaft, Staat und Bevölkerung. Die KRITIS-Verordnung schafft deshalb einheitliche und verbindliche Sicherheitsstandards, die Unternehmen helfen, ihre Informationssicherheit strukturiert und vorausschauend zu stärken. 

Außerdem sorgt die Verordnung für klare rechtliche Rahmenbedingungen – unterlegt durch das Sicherheitsgesetz – und unterstützt Betreiber kritischer Infrastruktur dabei, frühzeitig Risiken zu erkennen, geeignete Sicherheitsmaßnahmen umzusetzen und ihre Versorgungssysteme widerstandsfähig auszurichten. Dadurch trägt sie dazu bei, den Wirtschaftsstandort Deutschland zu schützen und das Vertrauen in digitale Prozesse zu sichern. Die KRITIS-Verordnung ist damit eine tragende Säule der nationalen Cybersicherheitsstrategie und unverzichtbar für den Schutz moderner kritischer Infrastrukturen.

Um die Vorgaben der BSI KRITIS-Verordnung nicht nur formal zu erfüllen, sondern auch wirksam im betrieblichen Alltag zu verankern, ist ein strukturiertes Vorgehen entscheidend. Neben den bereits genannten gesetzlichen Pflichten und technischen Maßnahmen spielen strategische, prozessuale und personelle Aspekte eine ebenso wichtige Rolle. Achten Sie auf folgende Punkte, um Ihre Organisation nachhaltig resilient aufzustellen:

1. Binden Sie die Geschäftsleitung aktiv ein! 
Die Verantwortung für die Umsetzung der KRITIS-Anforderungen liegt auf oberster Ebene. Ohne klare Priorisierung durch das Management bleiben Sicherheitskonzepte wirkungslos.

2. Integrieren Sie Informationssicherheit in alle Geschäftsprozesse! 
Sicherheitsmaßnahmen wirken nur, wenn sie fester Bestandteil der operativen Abläufe sind – von der Beschaffung über den Betrieb bis zur Wartung Ihrer Systeme.

3. Schulen Sie Ihre Mitarbeitenden regelmäßig! 
Das Sicherheitsniveau hängt maßgeblich vom Verhalten Ihrer Teams ab. Sensibilisierung und Awareness-Trainings müssen deshalb gezielt und kontinuierlich stattfinden.

4. Nutzen Sie etablierte Managementsysteme! 
Orientieren Sie sich an Standards wie ISO 27001 oder branchenspezifischen Richtlinien, um Ihre Sicherheitsarchitektur strukturiert aufzubauen und regelmäßig zu überprüfen.

5. Dokumentieren Sie alle Maßnahmen nachvollziehbar! 
Eine lückenlose Dokumentation erleichtert interne Audits, externe Prüfungen und den Nachweis gegenüber dem BSI. Sie ist Grundlage für Transparenz und Compliance.

6. Behalten Sie Änderungen und Anpassungen im Blick! 
Die KRITIS-Verordnung unterliegt dynamischen Entwicklungen. Passen Sie Ihre Prozesse frühzeitig an neue Vorgaben an.

Die IoT-Lösungen der Deutschen Telekom schaffen die optimale Grundlage, um die Anforderungen der BSI KRITIS-Verordnung digital, effizient und zukunftssicher umzusetzen. Durch intelligente Sensorik, sichere Konnektivität und Echtzeitdatenanalyse erkennen Sie kritische Zustände frühzeitig, optimieren Ihre Betriebsabläufe und erhöhen nachhaltig die Resilienz Ihrer Infrastrukturen.