Produktblatt KRITIS
KRITIS-Pruefung-Produktblatt (PDF, 699 KB)
KRITIS-Prüfung
IT-Sicherheit für Betreiber kritischer Infrastrukturen
Um die Sicherheit von Gesellschaft und Wirtschaft zu gewährleisten, sind Betreiber kritischer Infrastrukturen in Deutschland durch das IT-Sicherheitsgesetz (IT-SiG) in der 2021 novellierten Version 2.0 und die entsprechend aktualisierte KRITIS-Verordnung (KritisV) verpflichtet, ein jetzt erweitertes Mindestsicherheitsniveau umzusetzen, nachzuweisen und verschärfte Meldepflichten einzuhalten.
Unsere erfahrenen KRITIS-Prüfer überprüfen und bewerten das aktuelle Schutz- und Sicherheitsniveau Ihrer IT-Infrastruktur nach den in einer sogenannten Prüfgrundlage zuvor festgelegten transparenten Kriterien.
Sie möchten mehr zur Prüfung kritischer Infrastrukturen gemäß § 8a BSIG zur Erfüllung entsprechender Anforderungen aus dem IT-SiG 2.0, unter Berücksichtigung von Vorgaben aus der KritisV wissen? Jetzt Gesprächstermin vereinbaren!
Ihre Vorteile einer KRITIS - Prüfung
- Erfüllung aktueller gesetzlicher Anforderungen, wie z.B. aus dem IT-Sicherheitsgesetz 2.0
- Vermeidung von Geldbußen in Höhe von bis zu 20 Mio. Euro durch eventuelle Verstöße
- Verbesserung des Schutz- und Sicherheitsniveaus durch regelmäßige unabhängige Überprüfungen unterstützen
- Wirksame Informationssicherheit nach gültigen Normen oder Regelwerken wie z.B. der ISO/IEC 27001 oder auch branchenspezifischen Sicherheitsstandards (B3S)
Schutz kritischer Infrastrukturen verlässlich umgesetzt
Infrastrukturen werden als kritisch eingestuft, wenn Einrichtungen, Anlagen oder Teile davon aufgrund von Vernetzungsgröße und -grad eine große Bedeutung für das staatliche Gemeinwesen haben und bei deren Ausfall oder Beeinträchtigung erhebliche VersorgungseInfrastrukturen werden als kritisch eingestuft, wenn Einrichtungen, Anlagen oder Teile davon aufgrungpässe, Einschränkungen der öffentlichen Sicherheit oder andere dramatische Folgen drohen.
Die 4. Änderungsverordnung der BSI-Kritis-verordnung ist am 1.1.24 in Kraft getreten. In der KritisV ist definiert, welche Anlagen und Betreiber zur kritischen Infrastruktur gehören und welche Schwellenwerte für die Einstufung gelten.
Der Entwurf der NIS2-Umsetzung von November 2024 entält in Art. 8 eine geänderte Fassung der bisherigen KritisV für NIS2. Mit NIS2 wird möglicherweise keine neue Rechtsverordnung zur Bestimmung kritischer Anlagen erlassen, sondern die bisherige angepasst.
KRITIS-Betreiber sind dazu verpflichtet
- eine Kontaktstelle zu benennen (§ 8b Abs. 3 BSIG)
- Informationstechnisch relevante Störungen unverzüglich zu melden (§ 8b Abs. 4 BSIG)
- den "Stand der Technik" bei der Umsetzung von Sicherheitsmaßnahmen einhalten (§8a Abs.1 Satz. 2 BSIG).
- und dies im zweijährigen Turnus gegenüber dem BSI nachzuweisen (§ 8a Abs. 3 BSIG).
Es muss vom Betreiber eine sogenannte Prüfgrundlage erstellt werden, die mit dem Prüfdienstleister später abzustimmen ist. Diese soll aus verschiedenen Quellen, Normen und Regelwerken bestehen, z.B. der ISO 27001 oder auch eines Branchenspezifischen Sicherheitsstandards (B3S).
Unternehmen müssen die Ergebnisse an das Bundesamt für Sicherheit in der Informationstechnik übermitteln. Sollten Sicherheitsmängel auftreten, kann das BSI deren Beseitigung verlangen.
Die DCG bietet KRITIS-Prüfungen für ausgewählte Branchen an als Nachweis zur Einhaltung gesetzlicher Vorgaben. Dafür müssen Sie sich als Betreiber kritischer Infrastrukturen beim BSI melden und registrieren. In Ihrem Unternehmen sollten Sie ein den Anforderungen entsprechendes Niveau für Cyber Security und IT-Sicherheit umgesetzt haben. Dazu gehören technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik zum Schutz Ihrer IT- und OT-Infrastruktur sowie auch der Einsatz von Systemen zur Angriffserkennung (SzA).
Eine KRITIS-Prüfung durch unsere Prüfer erfolgt in 6 Schritten:
- Prüfungsvorbereitung, inklusive der Wahl der Prüfungsgrundlage sowie der Prüfung des Geltungsbereichs
- Erstellung des Prüfplans
- Dokumentationsprüfung
- Vor-Ort-Prüfung
- Nachbereitung der Vor-Ort-Prüfung
- Erstellung des Prüfberichts und der Mängelliste
In der KRITIS-Verordnung werden die Sektoren definiert, in denen kritische Dienstleistungen (kDL) zur Versorgung der Allgemeinheit erbracht werden. Diese finden Sie in der Abbildung unten.
In der KritisV sind die KRITIS-Anlagen definiert, die kritische Dienstleistungen erbringen. Darüber hinaus enthält die Verordnung Schwellenwerte, ab wann eine Anlage zur kritischen Infrastruktur zu rechnen ist.
Wir unterstützen Sie umfassend in den folgenden Branchen:
- Gesundheitswesen: Krankenhäuser
- IT & TK: Rechenzentren
- Transport & Verkehr: Tankstellennetzbetreiber, Verkehrs(netz)steuerungsbetriebe
- Energie: Energiehandel
- Entsorgung von Siedlungsabfällen: Siedlungsabfallentsorger
Mit der aktuellen Fassung des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) von 2021 kommen zahlreiche Neuerungen und erweiterte Verpflichtungen auf die Betreiber kritischer Infrastrukturen zu. Unter anderem wurden die Definition der KRITIS-Sektoren wie auch die Schwellenwerte geändert.
Das IT-SiG 2.0 verpflichtet zudem alle KRITIS-Betreiber, seit dem 01.05.2023 erweiterte Sicherheitsmaßnahmen für Ihre IT umzusetzen.
Dafür sind die IT-Systeme auf den neuesten Stand der Technik zu bringen, um deren Störanfälligkeit so gering wie möglich zu halten. Die KRITIS-Betreiber müssen hierfür eine sog. KRITIS-Prüfung durchführen und das Ergebnis als Prüfnachweis beim BSI einreichen.
Dafür sind die IT-Systeme auf den neuesten Stand der Technik zu bringen, um deren Störanfälligkeit so gering wie möglich zu halten. Die KRITIS-Betreiber müssen hierfür eine sog. KRITIS-Prüfung durchführen und das Ergebnis als Prüfnachweis beim BSI einreichen.
Auch das als Kontrollbehörde zuständige BSI erhält erweitere Kompetenzen und Informatonen zum „Stands der Technik“ für IT-Sicherheitsprodukte zur Verfügung und besitzt zukünftig auch die Befugnis, selbst Sicherheitsrisiken – zum Beispiel durch entsprechende Angriffsszenarien – zu detektieren. Mögliche Bußgelder bei Verstößen können nun bis zu maximal 20 Millionen Euro betragen.
Mit Know-how das IT-Sicherheitsgesetz verlässlich prüfen
- Unsere KRITIS-Prüfer unterstützen prüfen unabhängig und sachlich, ob die definierten Anforderungen (Prüfgrundlage) umgesetzt sind oder Mängel beseitigt werden müssen.
- Mit einer neutralen Prüfung zeigen Sie Ihre Kompetenzen vertrauenswürdig und global.
Sie möchten mehr zu unserem Prüfspektrum für kritische Infrastrukturen und die KRITIS-Prüfung erfahren? Vereinbaren Sie jetzt Ihren persönlichen Gesprächstermin!
