KRITIS-Prüfung

IT-Sicherheit für Betreiber kritischer Infrastrukturen

Um die Sicherheit von Gesellschaft und Wirtschaft zu gewährleisten, sind Betreiber kritischer Infrastrukturen in Deutschland durch das IT-Sicherheitsgesetz (IT-SiG) in der 2021 novellierten Version 2.0 und die entsprechend aktualisierte KRITIS-Verordnung (KritisV) verpflichtet, ein jetzt erweitertes Mindestsicherheitsniveau umzusetzen, nachzuweisen und verschärfte Meldepflichten einzuhalten. Unsere erfahrenen Sachverständigen überprüfen und bewerten das aktuelle Schutz- und Sicherheitsniveau Ihrer IT-Infrastruktur nach den vom Gesetzgeber festgelegten transparenten Kriterien und unterstützen Sie dabei, die neuen Anforderungen effektiv zu erfüllen.

Sie möchten mehr zur Prüfung kritischer Infrastrukturen gemäß IT-SiG 2.0 und KRITIS-Verordnung wissen? Jetzt Gesprächstermin vereinbaren!

Ihre Vorteile einer KRITIS - Prüfung

Erfüllung der aktuellen gesetzlichen Anforderungen des IT-Sicherheitsgesetzes 2.0
· Vermeidung von Geldbußen in Höhe von bis zu 20 Mio. Euro durch eventuelle Verstöße
Verbessertes Schutz- und Sicherheitsniveau Ihrer IT-Infrastruktur
Wirksame Informationssicherheit nach den jeweils gültigen Normen und branchenspezifische Standards (B3S)
Professionelle und effiziente Auditierung durch langjährig erfahrene IT-Sachverständige

Wir unterstützen Sie umfassend in den folgenden Sektoren:

Netzbetreiber (Energie)
Versorger/ Erzeuger (Energie)
IT und Telekommunikation
Ernährung
Wasser/ Abwasser
Transport und Verkehr
Gesundheit
Finanz- und Versicherungswesen
Entsorgung von Siedlungsabfällen
Unternehmen im besonderen öffentlichen Interesse

Netzbetreiber (Energie)

Strom- und Gasnetzbetreiber sind von der Bundesnetzagentur (BNetzA) aufgefordert, ein zertifiziertes Informationssicherheits-Managementsystem auf Basis des IT-Sicherheitskataloges einzuführen, um so eine sichere Energieversorgung sicherzustellen. Unsere Sachverständigen begleiten Sie bei Ihrer Prüfung nach den Anforderungen des 1. Sicherheitskataloges von Ihrem individuellen Erstangebot bis zum Erhalt Ihres Zertifikats sicher und kompetent.

Informieren Sie sich hier über die zutreffenden Schwellenwerte für Ihre Anlage.

Versorger/ Erzeuger (Energie)

Die Energieversorgung gliedert sich in die Branchen Elektrizität, Gas, Mineralöl und Fernwärme. Aufgrund ihrer Schlüsselstellung im Gemeinwesen umfasst die Energiewirtschaft die zentralen kritischen Infrastrukturen, weil sie jedem anderen KRITIS-Sektor vorgeschaltet sind. Erfüllen Sie die Mindestanforderungen des 2. Sicherheitskataloges mit einer Überprüfung des IT-Sicherheitskonzepts Ihrer Anlagen.

Informieren Sie sich hier über die zutreffenden Schwellenwerte für Ihre Anlage.

IT und Telekommunikation

Die Informationstechnik (IT) und Telekommunikation (TK) gliedert sich in die Branchen Sprach- und Datenübertragung (Zugang, Übertragung, Vermittlung und Steuerung) sowie Datenspeicherung und -verarbeitung (Housing, IT-Hosting und Vertrauensdiensten). Wir überprüfen auf Basis der vereinbarten Prüfgrundlage Ihr Informationssicherheits-Managementsystem (ISMS).

Informieren Sie sich hier über die zutreffenden Schwellenwerte für Ihre Anlage.

Ernährung

Aufgrund ihrer besonderen Bedeutung für das Gemeinwesen sowie der zunehmenden Automatisierung werden gemäß § 10 Absatz 1 Satz 1 des BSI-Gesetzes die Bereiche Herstellung, Behandlung, Distribution, Bestellung und Inverkehrbringen von Lebensmitteln sowie die zentrale standortübergreifende Steuerung von Lebensmitteln als kritisch eingestuft. Gern unterstützen wir Sie bei der Einhaltung der entsprechenden Sicherheitsanforderungen anhand der vereinbarten Prüfgrundlage.

Informieren Sie sich hier über die zutreffenden Schwellenwerte für Ihre Anlage.

Wasser/ Abwasser

Für den Schutz vor Hackerangriffen auf die IT-Infrastruktur der Wasserversorger hat das BSI zusammen mit dem Deutschen Verein des Gas- und Wasserfaches (DVGW) den Branchenstandard B3S entwickelt. Dieser besteht aus dem Merkblatt DVGW W 1060 bzw. DWA-M 1060 "IT-Sicherheit - Branchenstandard Wasser/Abwasser" sowie einer Web-Applikation, dem "IT-Sicherheitsleitfaden". Mit diesem Leitfaden wird ermittelt, welche Sicherheitsmaßnahmen einzuführen sind, um die IT-Infrastruktur gemäß dem Stand der Technik zu schützen. Gern stehen Ihnen unsere Experten und Expertinnen bei der Erbringung des erforderlichen Nachweises mithilfe einer Prüfung zur Seite.

Informieren Sie sich hier über die zutreffenden Schwellenwerte für Ihre Anlage.

Transport und Verkehr

Durch die enge Vernetzung der Lieferketten und der steigenden Mobilität der Bevölkerung nehmen Transport-, Beförderungs- und Logistikleistungen in jeder Branche eine Schlüsselrolle ein: Von der Versorgung der Bevölkerung bis zum Rettungstransport. Wir stehen erfahren an Ihrer Seite und überprüfen Ihre Anlagen auf Basis der vereinbarten Prüfgrundlage.

Informieren Sie sich hier über die zutreffenden Schwellenwerte für Ihre Anlage.

Gesundheit

Bei Gesundheitsdienstleistungen muss die Versorgung der Bevölkerung auch in Krisensituationen stets gewährleistet sein. Fehlt beispielsweise eine ausreichende Netzwerk-, Endgeräte- oder Datensicherheit, kann dies gravierende Auswirkung haben und unmittelbar Menschenleben gefährden. Daher unterstützen wir Sie in verschiedenen Bereichen der medizinischen Versorgung sowie in den Bereichen Pharma und Labor.

Informieren Sie sich hier über die zutreffenden Schwellenwerte für Ihre Anlage.

Finanz- und Versicherungswesen

Das Finanz- und Versicherungswesen (Banken, Börsen, Versicherungen, Finanzdienstleistende) nimmt eine Schlüsselstellung im Wirtschafts- und Finanzkreislauf ein. IT-Gefährdungen haben für die gesamte Gesellschaft weitreichende Folgen. Vor allem die Bargeldversorgung, der bargeldlose und der konventionelle Zahlungsverkehr, die Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften sowie Versicherungsdienstleistungen müssen berücksichtigt werden. Wir unterstützen Sie umfassend mit einer Prüfung auf Basis der vereinbarten Prüfgrundlage.

Informieren Sie sich hier über die zutreffenden Schwellenwerte für Ihre Anlage.

Entsorgung von Siedlungsabfällen

Als zentraler Bereich der Abfallwirtschaft ist es die Aufgabe der Entsorgung, Siedlungsabfälle zu sammeln und anschließend so zu beseitigen oder zu verwerten, dass es dabei nicht zu einer wachsenden Seuchengefahr und Verschmutzung der Umwelt mit gefährlichen Stoffen kommt. Wir unterstützen Sie mit einer Überprüfung auf Basis der vereinbarten Prüfgrundlage, um die gesundheitliche Gefährdung der Bevölkerung durch Ausfälle oder Störungen der Entsorgungsleistungen zu vermeiden. Die Schwellenwerte und genaue Anlagendefinitionen werden erst in der neuen Rechtsverordnung KritisV 2.0 in 2022 konkretisiert – mehr Informationen finden Sie hier.

Unternehmen im besonderen öffentlichen Interesse

Neben den in der KRITIS-Verordnung genannten Sektoren unterliegen auch weitere Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI) sowie deren Zulieferer den Vorgaben des IT-Sicherheitsgesetzes 2.0. Dazu gehören die Bereiche:

Hersteller von Rüstungs- und bestimmten Cyber-Security-Produkten (AWV-UBI)
Die Unternehmen mit der größten inländischen Wertschöpfung (Wertschöpfungs-UBI)
Betreiber von Betriebsbereichen der oberen Klasse im Sinne der Störfallverordnung und Unternehmen, die diesen gleichgestellt sind (Störfall-UBI)

Wenn Sie zu den genannten Gruppen gehören, unterliegen Sie neuen Pflichten:

Selbstidentifikation und Registrierung innerhalb von zwei Jahren
Vorlage einer IT-Sicherheitserklärung zu Zertifizierungen, Sicherheitsaudits und Sicherheitsmaßnahmen.
Meldungen bestimmter Störungen und Vorfälle an das BSI

Genauere Definitionen für UBI werden 2022 in einer neuen Rechtsverordnung UBI-VO konkretisiert.

Schutz kritischer Infrastrukturen verlässlich umgesetzt

Infrastrukturen werden als kritisch eingestuft, wenn Einrichtungen, Anlagen oder Teile davon aufgrund von Vernetzungsgröße und -grad eine große Bedeutung für das staatliche Gemeinwesen haben und bei deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe, Einschränkungen der öffentlichen Sicherheit oder andere dramatische Folgen drohen.

Der Gesetzgeber hat in 2021 nach dem IT-Sicherheitsgesetz 2.0 auch eine aktualisierte KRITIS-Verordnung in der Version 1.5 (auch KRITIS-Verordnung 2.0 genannt) herausgegeben. Diese ist seit 1. Januar 2022 in Kraft und definiert, welche Anlagen und Betreiber zur kritischen Infrastruktur gehören und welche Schwellenwerte für die Einstufung gelten. Der KRITIS-Sektor Siedlungsabfallentsorgung und die UBI/UNBÖFI werden 2022 noch in einer separaten KRITIS-Verordnung 2.0 sowie einer UBI-Verordnung definiert.

KRITIS-Betreiber sind gemäß der KritisV 1.5 dazu verpflichtet

eine Kontaktstelle zu benennen
IT-Störungen umgehend zu melden
den "Stand der Technik" gemäß branchenspezifischer Sicherheitsstandards umzusetzen
und dies im zweijährigen Turnus gegenüber dem BSI nachzuweisen (§ 8a BSIG Abs. 3).

Als Nachweis über die Einhaltung akzeptiert das BSI Sicherheitsaudits, Prüfungen oder Zertifizierungen. Unternehmen müssen die Ergebnisse an das Bundesamt für Sicherheit in der Informationstechnik übermitteln. Sollten Sicherheitsmängel auftreten, kann das BSI deren Beseitigung verlangen.

Im Unterschied zu den meisten benannten Infrastrukturbereichen, die wir im Rahmen unserer KRITIS-Services überprüfen, werden Strom- und Gasnetzbetreiber zusätzlich nach dem IT-Sicherheitskatalog gemäß §11 Abs. 1a der Bundesnetzagentur (BNETZA) zertifiziert. Die Grundlage für die Akkreditierung der Zertifizierungsstelle bei der deutschen Akkreditierungsstelle (DAkkS) ist dabei das Konformitätsbewertungsprogramm.

Ablauf der KRITIS-Prüfung
Weitere Services
Über KRITIS

Ablauf der KRITIS-Prüfung

Unsere Sachverständigen bieten Ihnen umfassende Zertifizierungen und Prüfungen als Nachweis zur Einhaltung der KRITIS-Verordnung. Dafür müssen Sie sich als Betreiber kritischer Infrastrukturen beim BSI melden und registrieren. In Ihrem Unternehmen sollten Sie ein den Anforderungen entsprechendes Niveau für Cyber Security und IT-Sicherheit umgesetzt haben. Dazu gehören organisatorische Maßnahmen wie ein implementiertes Informationssicherheitsmanagementsystem (ISMS), technologische Schutzmaßnahmen nach dem Stand der Technik zum Schutz Ihrer IT- und OT-Infrastruktur sowie auch Systeme und Prozesse zur Angriffserkennung wie zum Beispiel ein Security Incident Management (SIEM) oder ein Security Operation Center (SOC).

Eine KRITIS-Prüfung durch unsere Sachverständigen erfolgt in 6 Schritten:

Prüfungsvorbereitung, inklusive der Wahl der Prüfungsgrundlage sowie der Prüfung des Geltungsbereichs
Erstellung des Prüfplans
Dokumentationsprüfung
Vor-Ort-Prüfung
Nachbereitung der Vor-Ort-Prüfung
Erstellung des Prüfberichts und der Mängelliste

Weitere Services

Weiterhin können wir Sie mit folgenden Services unterstützen:

IT-Sicherheits-Checks
Cloud-Zertifizierungen
Datenschutz- und Datensicherheitsaudit
Risikomanagement/Risikoanalyse
Stellung des externen Datenschutzbeauftragten
Aufbau eines Datenschutz- und Datensicherheitssystems

Über KRITIS

In der KRITIS-Verordnung werden die Sektoren definiert, in denen kritische Dienstleistungen (kDL) zur Versorgung der Allgemeinheit erbracht werden. Dazu gehören:

Grundversorgung: Energie, Wasser, Ernährung, Gesundheit
Versorgung: Transport und Verkehr sowie neu in V 1.5 Siedlungsabfallentsorgung und Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI)
Dienstleistungen: IT und TK, Finanzen und Versicherungen

Die Betreiber erbringen die kritischen Dienstleistungen in KRITIS-Anlagen, die in der Verordnung pro Sektor definiert sind. Darüber hinaus enthält die Verordnung Schwellenwerte, ab wann eine Anlage zur kritischen Infrastruktur zu rechnen ist.

Neue Anforderungen für KRITIS-Betreiber durch IT-SiG 2.0

Mit der aktuellen Fassung des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) von 2021 kommen zahlreiche Neuerungen und erweiterte Verpflichtungen auf die Betreiber kritischer Infrastrukturen zu. Unter anderem wurden die Definition der KRITIS-Sektoren wie auch die Schwellenwerte geändert.

Das IT-SiG 2.0 verpflichtet zudem alle KRITIS-Betreiber, spätestens bis zum 01.05.2023 erweiterte Sicherheitsmaßnahmen für Ihre IT umzusetzen.
Dafür sind die IT-Systeme auf den neuesten Stand der Technik zu bringen, um deren Störanfälligkeit so gering wie möglich zu halten. Die KRITIS-Betreiber müssen dies in Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen.

Auch das als Kontrollbehörde zuständige BSI erhält erweitere Kompetenzen und ist beispielsweise für die Konkretisierung des neuesten „Stands der Technik“ für IT-Sicherheitsprodukte zuständig und besitzt zukünftig auch die Befugnis, selbst Sicherheitsrisiken – zum Beispiel durch entsprechende Angriffsszenarien – zu detektieren. Mögliche Bußgelder bei Verstößen können nun bis zu maximal 20 Millionen Euro betragen.

Weiterführende Informationen zu den Neuerungen im IT-SiG 2.0 finden Sie hier.

Mit Know-how das IT-Sicherheitsgesetz verlässlich umsetzen

Unsere Sachverständigen unterstützen Sie aufgrund unserer langjährigen Erfahrungen und unseres umfassenden Know-hows bei der Sicherherstellung der IT-Sicherheit Ihrer kritischen Infrastrukturen.
Mit einer neutralen Prüfung durch die renommierten DEKRA Auditoren und Auditorinnen zeigen Sie Ihre Kompetenzen vertrauenswürdig und global.
Nutzen Sie auch unsere Dienstleistungen in anderen Bereichen der Unternehmenssicherheit und profitieren Sie von der Möglichkeit einer Kombizertifizierung, wie beispielsweise mit der ISO 9001 Zertifizierung oder der ISO 27001 Zertifizierung.

Sie möchten mehr zu unserem Prüfspektrum für kritische Infrastrukturen und die KRITIS-Prüfung erfahren? Vereinbaren Sie jetzt Ihren persönlichen Gesprächstermin!

Kontakt

Angebotsanfrage