Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance

KRITIS-Pflichten im Griff.

Scope, Registrierung, Meldewege und Sicherheitsnachweise praxisnah etablieren. Für Betreiber kritischer Infrastrukturen nach NIS2UmsuCG und KRITIS-DachG.

ISMS ISO 27001 NIS2

KRITIS-Sektoren

2 Jahre

Nachweiszyklus

6 Monate

Registrierungsfrist nach Überschreiten der Schwellenwerte

Hintergrund

KRITIS: besondere Pflichten für besondere Verantwortung.

Betreiber kritischer Infrastrukturen unterliegen einem doppelten Pflichtrahmen: Das NIS2UmsuCG setzt die EU-NIS2-Richtlinie um und regelt Cybersicherheitspflichten für wesentliche und wichtige Einrichtungen. Das KRITIS-DachG (seit Juni 2024) setzt daneben die EU-CER-Richtlinie um und adressiert die physische Resilienz kritischer Anlagen.

Wer die Schwellenwerte in einem der KRITIS-Sektoren überschreitet, muss sich beim BSI registrieren, angemessene Sicherheitsmaßnahmen nach Stand der Technik umsetzen und dies alle zwei Jahre nachweisen: durch Audits, Prüfungen oder Zertifizierungen. Daneben besteht eine Meldepflicht für erhebliche Sicherheitsvorfälle.

KRITIS-Grundpflichten

Registrierung innerhalb von 6 Monaten
Angemessene Sicherheitsmaßnahmen nach Stand der Technik (NIS2UmsuCG)
Nachweis alle 2 Jahre durch Audits, Prüfungen oder Zertifizierungen
Einrichten einer Kontaktstelle für BSI-Kommunikation
Meldung erheblicher IT-Störungen
Umsetzung des B3S (Branchenspezifischer Sicherheitsstandard)

Leistungen

Was wir für Sie übernehmen.

Betroffenheitsprüfung

Sektorzuordnung und Schwellenwert-Prüfung
Abgrenzung der kritischen Dienstleistungen
Registrierungsprozess beim BSI
Kontaktstelleneinrichtung

Sicherheitsmaßnahmen & Stand der Technik

Gap-Analyse nach B3S, ISO 27001 oder NIS2UmsuCG-Anforderungen
Maßnahmenplan nach Stand der Technik
Technische und organisatorische Maßnahmen
Dokumentation und Nachweisvorbereitung

Nachweispflicht & Audit

Vorbereitung auf den 2-Jahres-Nachweis gegenüber dem BSI
Unterstützung bei Audits, Prüfungen und Zertifizierungen
Nachweisdokumentation für das BSI
Steuerung von Mängelberichten

Meldung & Krisenmanagement

Meldeprozess für erhebliche IT-Störungen
Kommunikationswege zum BSI einrichten
Business Continuity und Krisenmanagement
Integration mit NIS2-Meldepflichten

Branchenstandards

Branchenspezifische Sicherheitsstandards (B3S).

Neben ISO 27001 existieren für viele KRITIS-Sektoren vom BSI anerkannte Branchenspezifische Sicherheitsstandards (B3S), die von Branchenverbänden entwickelt wurden. Ein B3S definiert konkrete, sektorspezifische Anforderungen und kann als Nachweisgrundlage gegenüber dem BSI dienen. Viele B3S bauen dabei explizit auf ISO 27001 auf. Wer bereits zertifiziert ist, deckt einen Großteil der Anforderungen bereits ab und reduziert den Aufwand für den KRITIS-Nachweis erheblich.

Anerkannte B3S nach Sektor (gemäß BSI-Übersicht)

Energie
B3S Fernwärmenetze, B3S Aggregatoren
Ernährung
B3S Lebensmittelhandel, B3S Ernährungsindustrie
Gesundheit
B3S Krankenhaus, B3S Pharma, B3S GKV/PV
Finanz & Versicherung
B3S GKV/PV, B3S Electronic Cash
B3S Electronic Cash abgelaufen, Verlängerung ausstehend
Labor
B3S Laboratoriumsdiagnostik
Abgelaufen, Nachfolger noch nicht verabschiedet

Wasser/Abwasser
B3S Wasser/Abwasser
IT & TK
B3S Housing, Hosting, CDN
Entsorgung
B3S Siedlungsabfallentsorgung
Transport & Verkehr
B3S kommunaler Straßenverkehr, B3S Bundesautobahn
B3S kommunaler Straßenverkehr abgelaufen, Verlängerung ausstehend

Unser Ansatz: Wir prüfen, ob für Ihren Sektor ein anerkannter B3S vorliegt, welche ISO-27001-Controls Sie bereits abdecken, und planen den effizientesten Weg zum BSI-Nachweis: via B3S-Audit, ISO-Zertifizierung oder kombiniertem Ansatz.

Vorgehensweise

Von der Betroffenheit zum Nachweis.

Betroffenheit

Sektorzuordnung, Schwellenwerte und Registrierungspflicht klären.

Gap-Analyse

Stand der Technik, B3S und NIS2UmsuCG-Anforderungen abgleichen.

Maßnahmen

Sicherheitsmaßnahmen implementieren und dokumentieren.

Nachweis

Auditbegleitung und Nachweisführung gegenüber dem BSI: via B3S, ISO 27001 oder kombiniert.