Skip to main content

BSI-Kritisverordnung

An wen richtet sich die BSI-Kritisverordnung?

Die BSI-Kritisverordnung richtet sich an Betreiber kritischer Infrastrukturen (KRITIS). KRITIS-Betreiber sind Unternehmen und Institutionen, die zur Versorgung der Allgemeinheit in den Bereichen der Energie- und

  • Wasserversorgung,
  • der medizinischen Versorgung,
  • des Lebensmittelhandels und der Ernährungswirtschaft,
  • der Informationstechnik und Telekommunikation,
  • im Transport und Verkehrssektor,
  • in Staat und Verwaltung,
  • in Medien und Kultur

private und öffentliche Leistungen erbringen und zu deren IT-Systemen die Meldung von Sicherheitsvorfällen obligatorisch ist.

Was wird damit bezweckt?

Da Einschränkungen oder der Ausfall eines IT-Systems, seiner Komponenten oder Prozesse in den genannten Bereichen zu signifikanten Einschränkungen in der Versorgung oder sogar einer Gefährdung der öffentlichen Sicherheit führen würden, werden KRITIS-Betreiber unter Androhung hoher Bußgelder im Rahmen des IT-Sicherheitsgesetzes gezwungen, alle zwei Jahre nachzuweisen, dass ihre Systeme kritischer IT-Infrastruktur

  • alle Änderungsvorschriften des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfüllen,
  • auf dem „Stand der Technik“ sind und
  • Risiken nach einem anerkannten Standard wie ISO 27001 gemanagt werden.

Mit welchen Mitteln sollen die Betreiber laut BSI-Kritisverordnung die Sicherheit der kritischen Infrastrukturen gewährleisten?

In § 8b (3) des BSI-Gesetzes ist den Betreibern kritischer Infrastrukturen vorgeschrieben, eine Kontaktstelle zu benennen, die 24/7/365 zur Krisenfrüherkennung und -bewältigung erreicht werden kann. Diese muss ihrerseits jede Störung bezüglich der

  • Verfügbarkeit
  • Vertraulichkeit
  • Integrität
  • Authentizität

des IT-Systems oder seiner Prozesse und Komponenten an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, die einen Ausfall oder erhebliche Beeinträchtigungen von Teilen oder der gesamten IT-Infrastruktur zufolge hatten oder haben könnten.

KRITIS-Betreiber müssen ein Informations-Managementsystem (ISMS) einrichten und sollen nach Möglichkeit ihre Maßnahmen zum Erreichen der Zertifizierung auf bereits bestehende Sicherheitsmechanismen aufsetzen. Das BSI bestätigt nach Audit durch zertifizierte Prüfer mit einem ISO/IEC 27001-Zertifikat, dass ein entsprechendes ISMS implementiert ist und aufrechterhalten wird.


Sie haben noch Fragen?

Kontaktieren Sie uns


Weitere Inhalte