Ihr Unternehmen arbeitet mit sensiblen Inhalten von Kunden? Es könnte die Gefahr bestehen, essenzielle Komponenten Ihres Unternehmens durch potentielle Angriffe zu verlieren – sowie erworbene Lizenzen, Dienste oder gar Kundeninformationen? Wenn dem so ist, dann wird KRITIS mit Sicherheit großes Interesse bei Ihnen wecken.

Bei KRITIS geht es um die Gewährleistung, dass im Ausnahmezustand die Dienstleistungen und Produkte weiterhin der Bevölkerung zur Verfügung stehen. Durch geeignete technische und organisatorische Maßnahmen sollen die Bedrohungen auf die IT reduziert und eliminiert werden, sodass die zur KRITIS zählenden Organisationen weiterhin handlungsfähig bleiben.

Zur Kritischen Infrastruktur zählen laut Definition des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie Bundesamts für Sicherheit in der Informationstechnik (BSI), Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Kommt es bei diesen zu Ausfällen oder Beeinträchtigungen, könnte dies wiederum zu Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen.

Wer zählt in Deutschland zu KRITIS?

Organisationen und Einrichtungen aus den Bereichen Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur zählen zu den Kritischen Infrastrukturen. Diese Bereiche werden wiederum in Sektoren untergliedert, die im BSI KritisV (BSIG) nachgeschlagen werden können.

Anforderungen

Die Widerstandfähigkeit der IT in Bezug auf mögliche Gefährdungen und die Absicherung der kritischen Infrastruktur durch geeignete Maßnahmen muss in regelmäßigen Audits geprüft werden, dazu sind KRITIS Betreiber verpflichtet.

Wer KRITS ist, muss unter anderem die folgenden Anforderungen beachten, da sonst mit hohen Bußgeldern gerechnet werden kann:

Um den aktuellen „Stand der Technik“ ermitteln zu können, können zum Beispiel gängige Standards, wie der ISO/IEC 27001 sowie die branchenspezifischen Sicherheitsstandards B3S herangezogen werden.

Ist man offiziell KRITIS Betreiber und erfüllt nicht alle geforderten technischen und/oder organisatorischen Maßnahmen, so können Bußgelder verhängt werden. Diese erhöhen sich, wenn man die Beanstandungen des BSI selbst nach Aufforderungen nicht behebt. Wenn ein KRITIS Betreiber eine Maßnahme aufgrund von Kostengründen nicht umsetzen möchte, ist dies ebenfalls nicht zulässig.

Wie weiß ich nun, ob ich zu KRITIS zähle?

Informieren Sie sich zum Beispiel auf der Website des BSI und prüfen Sie zudem, ob Sie zu den aufgelisteten Sektoren zählen, die Sie im BSI KritisV (BSIG) finden.

Prüfen Sie zudem, ob sie über den definierten Jahresumsatz von 2 Mio. Euro kommen und mehr als 10 Mitarbeiter haben. Ferner müssen Sie einen Schwellenwert mit Hilfe des Teil 2 aus dem BSI KritisV ermitteln.

Für eine schnelle Ermittlung lohnt sich die Nutzung unserer praktischen KRITIS Analyse-Tafel, bei der Sie in nur fünf Schritten zum Ergebnis kommen.

Profitieren auch Sie von einer sicheren KRITIS Analyse und Umsetzung – wappnen Sie sich jetzt mit dem cleveren ISMS-Tool NormTracker der CertVision GmbH. Sie wollen mehr zum Thema KRITIS erfahren, einen weiteren Beitrag über das Risikomanagement von Martina Petersen lesen oder einen kostenlosen Testaccount erwerben? Kontaktieren Sie uns!