Wir verwenden auf unserer Website Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Um Ihnen ein komfortables Online-Erlebnis zu ermöglichen und unsere Kommunikation zu verbessern, klicken Sie auf „ALLE AKZEPTIEREN“. Damit stimmen Sie der Verarbeitung und der Weitergabe Ihrer Daten an unsere Partner für soziale Medien, Werbung und Analysen zu. Sie können Ihre Einwilligungen jederzeit in den Einstellungen widerrufen.
Datenschutzerklärung | Impressum
Datenschutz-Einstellungen
Jubilee Signet

KRITIS-Prüfung

IT-Sicherheit für Betreiber kritischer Infrastrukturen

Um die Sicherheit von Gesellschaft und Wirtschaft zu gewährleisten, sind Betreiber kritischer Infrastrukturen in Deutschland durch das IT-Sicherheitsgesetz (IT-SiG) in der 2021 novellierten Version 2.0 und die entsprechend aktualisierte KRITIS-Verordnung (KritisV) verpflichtet, ein jetzt erweitertes Mindestsicherheitsniveau umzusetzen, nachzuweisen und verschärfte Meldepflichten einzuhalten.

Unsere erfahrenen KRITIS-Prüfer überprüfen und bewerten das aktuelle Schutz- und Sicherheitsniveau Ihrer IT-Infrastruktur nach den in einer sogenannten Prüfgrundlage zuvor festgelegten transparenten Kriterien.
Sie möchten mehr zur Prüfung kritischer Infrastrukturen gemäß § 8a BSIG zur Erfüllung entsprechender Anforderungen aus dem IT-SiG 2.0, unter Berücksichtigung von Vorgaben aus der KritisV wissen? Jetzt Gesprächstermin vereinbaren!

Schutz kritischer Infrastrukturen verlässlich umgesetzt

Infrastrukturen werden als kritisch eingestuft, wenn Einrichtungen, Anlagen oder Teile davon aufgrund von Vernetzungsgröße und -grad eine große Bedeutung für das staatliche Gemeinwesen haben und bei deren Ausfall oder Beeinträchtigung erhebliche VersorgungseInfrastrukturen werden als kritisch eingestuft, wenn Einrichtungen, Anlagen oder Teile davon aufgrungpässe, Einschränkungen der öffentlichen Sicherheit oder andere dramatische Folgen drohen.
Die 4. Änderungsverordnung der BSI-Kritis-verordnung ist am 1.1.24 in Kraft getreten. In der KritisV ist definiert, welche Anlagen und Betreiber zur kritischen Infrastruktur gehören und welche Schwellenwerte für die Einstufung gelten.
Der Entwurf der NIS2-Umsetzung von November 2024 entält in Art. 8 eine geänderte Fassung der bisherigen KritisV für NIS2. Mit NIS2 wird möglicherweise keine neue Rechtsverordnung zur Bestimmung kritischer Anlagen erlassen, sondern die bisherige angepasst.
KRITIS-Betreiber sind dazu verpflichtet
  • eine Kontaktstelle zu benennen (§ 8b Abs. 3 BSIG)
  • Informationstechnisch relevante Störungen unverzüglich zu melden (§ 8b Abs. 4 BSIG)
  • den "Stand der Technik" bei der Umsetzung von Sicherheitsmaßnahmen einhalten (§8a Abs.1 Satz. 2 BSIG).
  • und dies im zweijährigen Turnus gegenüber dem BSI nachzuweisen (§ 8a Abs. 3 BSIG).
Es muss vom Betreiber eine sogenannte Prüfgrundlage erstellt werden, die mit dem Prüfdienstleister später abzustimmen ist. Diese soll aus verschiedenen Quellen, Normen und Regelwerken bestehen, z.B. der ISO 27001 oder auch eines Branchenspezifischen Sicherheitsstandards (B3S).
Unternehmen müssen die Ergebnisse an das Bundesamt für Sicherheit in der Informationstechnik übermitteln. Sollten Sicherheitsmängel auftreten, kann das BSI deren Beseitigung verlangen.
Ablauf der KRITIS-Prüfung
Die DCG bietet KRITIS-Prüfungen für ausgewählte Branchen an als Nachweis zur Einhaltung gesetzlicher Vorgaben. Dafür müssen Sie sich als Betreiber kritischer Infrastrukturen beim BSI melden und registrieren. In Ihrem Unternehmen sollten Sie ein den Anforderungen entsprechendes Niveau für Cyber Security und IT-Sicherheit umgesetzt haben. Dazu gehören technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik zum Schutz Ihrer IT- und OT-Infrastruktur sowie auch der Einsatz von Systemen zur Angriffserkennung (SzA).
Eine KRITIS-Prüfung durch unsere Prüfer erfolgt in 6 Schritten:
  1. Prüfungsvorbereitung, inklusive der Wahl der Prüfungsgrundlage sowie der Prüfung des Geltungsbereichs
  2. Erstellung des Prüfplans
  3. Dokumentationsprüfung
  4. Vor-Ort-Prüfung
  5. Nachbereitung der Vor-Ort-Prüfung
  6. Erstellung des Prüfberichts und der Mängelliste
Über KRITIS

Wir unterstützen Sie umfassend in den folgenden Branchen:

  • Gesundheitswesen: Krankenhäuser
  • IT & TK: Rechenzentren
  • Transport & Verkehr: Tankstellennetzbetreiber
  • Transport & Verkehr: Verkehrs(netz)steuerungsbetriebe
  • Energie: Energiehandel
Neue Anforderungen für KRITIS-Betreiber durch IT-SiG 2.0
Mit der aktuellen Fassung des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) von 2021 kommen zahlreiche Neuerungen und erweiterte Verpflichtungen auf die Betreiber kritischer Infrastrukturen zu. Unter anderem wurden die Definition der KRITIS-Sektoren wie auch die Schwellenwerte geändert.
Das IT-SiG 2.0 verpflichtet zudem alle KRITIS-Betreiber, seit dem 01.05.2023 erweiterte Sicherheitsmaßnahmen für Ihre IT umzusetzen.
Dafür sind die IT-Systeme auf den neuesten Stand der Technik zu bringen, um deren Störanfälligkeit so gering wie möglich zu halten. Die KRITIS-Betreiber müssen hierfür eine sog. KRITIS-Prüfung durchführen und das Ergebnis als Prüfnachweis beim BSI einreichen.
Auch das als Kontrollbehörde zuständige BSI erhält erweitere Kompetenzen und Informatonen zum „Stands der Technik“ für IT-Sicherheitsprodukte zur Verfügung und besitzt zukünftig auch die Befugnis, selbst Sicherheitsrisiken – zum Beispiel durch entsprechende Angriffsszenarien – zu detektieren. Mögliche Bußgelder bei Verstößen können nun bis zu maximal 20 Millionen Euro betragen.
Weiterführende Informationen zu den Neuerungen im IT-SiG 2.0 finden Sie hier .
Downloads
Produktblatt KRITIS
KRITIS-Pruefung-Produktblatt (PDF, 695 KB)
FAQ KRITIS
KRITIS-Pruefung-FAQ (PDF, 826 KB)

Mit Know-how das IT-Sicherheitsgesetz verlässlich prüfen

  • Unsere KRITIS-Prüfer unterstützen prüfen unabhängig und sachlich, ob die definierten Anforderungen (Prüfgrundlage) umgesetzt sind oder Mängel beseitigt werden müssen.
  • Mit einer neutralen Prüfung zeigen Sie Ihre Kompetenzen vertrauenswürdig und global.
Sie möchten mehr zu unserem Prüfspektrum für kritische Infrastrukturen und die KRITIS-Prüfung erfahren? Vereinbaren Sie jetzt Ihren persönlichen Gesprächstermin!