KRITIS (Kritische Infrastrukturen)
Kurzbeschreibung
KRITIS bezeichnet „kritische Infrastrukturen“, also Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe, Gefahren für die öffentliche Sicherheit oder andere schwerwiegende Auswirkungen hätte.
Dazu gehören insbesondere Energie, Wasser, Ernährung, Gesundheit, IT und Transport.
Systematischer Kontext
KRITIS liegt im Schnittfeld von IT-Sicherheit, Katastrophenschutz, Verwaltungsrecht, EU-Sicherheitsrecht und Wirtschaftsregulierung.
Verknüpfungen:
- IT-Sicherheit
- Krisenmanagement
- Wissensbereiche/Soziales/Katastrophenschutz
- Gesundheitssystem
- Wissensbereiche/Grundlagen/Energiepolitik EU
1. Ziel der KRITIS-Regulierung
- Sicherstellung der Grundversorgung der Bevölkerung
- Schutz vor Ausfällen kritischer Systeme
- Erhöhung der Resilienz gegen Cyberangriffe und Krisen
- Schutz staatlicher und wirtschaftlicher Stabilität
2. Was sind kritische Infrastrukturen?
Typische KRITIS-Sektoren:
- Energie (Strom, Gas, Öl)
- Wasser und Abwasser
- Ernährung / Lebensmittelversorgung
- Gesundheit (Krankenhäuser, Pharma)
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Finanz- und Versicherungswesen
- Staat und Verwaltung
3. Rechtsgrundlagen
Deutschland
- BSI-Gesetz (Bundesamt für Sicherheit in der Informationstechnik)
- IT-Sicherheitsgesetz (IT-SiG 2.0)
- KRITIS-Verordnung (KritisV)
EU-Ebene
- NIS2-Richtlinie (Network and Information Security Directive)
- CER-Richtlinie (Critical Entities Resilience)
- Cybersecurity-Strategien der EU
Verknüpfung:
4. Pflichten für KRITIS-Betreiber
1. IT-Sicherheitsmaßnahmen
- Schutz vor Cyberangriffen
- regelmäßige Sicherheitsupdates
- Zugangskontrollen und Monitoring
2. Meldepflichten
- Meldung von Sicherheitsvorfällen
- Zusammenarbeit mit Behörden (z. B. BSI)
3. Resilienzmaßnahmen
- Notfallpläne
- Backup-Systeme
- Redundante Infrastruktur
Verknüpfung:
5. IT-Sicherheit in KRITIS
:contentReference[oaicite:0]{index=0}
- besonders hohe Anforderungen an IT-Schutz
- kontinuierliches Risikomanagement
- verpflichtende Sicherheitsstandards
Verknüpfung:
6. Bedeutung im Krisenfall
- schnelle Wiederherstellung der Versorgung
- Priorisierung staatlicher Ressourcen
- enge Zusammenarbeit mit Katastrophenschutz
- Schutz der Bevölkerung
Verknüpfung:
7. Bedeutung für Unternehmen
- hohe regulatorische Anforderungen
- verpflichtende Sicherheits- und Auditprozesse
- erhebliche Haftungsrisiken bei Verstößen
- Investitionen in IT- und Betriebssicherheit
Verknüpfung:
8. Bedeutung für Beschäftigte
- erhöhte Sicherheits- und Verhaltensanforderungen
- Schulungspflichten
- Verantwortung im Umgang mit sensiblen Systemen
- mögliche Einschränkungen im Arbeitsalltag
Verknüpfung:
9. Bedeutung für Gesellschaft
- Stabilität der öffentlichen Versorgung
- Schutz vor großflächigen Ausfällen
- zentrale Rolle in der nationalen Sicherheit
- Vertrauen in staatliche Infrastruktur
10. EU-Bezug
- EU-weite Mindeststandards für kritische Einrichtungen
- Harmonisierung von Cybersecurity-Anforderungen (NIS2)
- grenzüberschreitende Zusammenarbeit bei Ausfällen
- Stärkung der Resilienz im Binnenmarkt
Verknüpfung:
11. Verbindung zur Gesetzespyramide
1. EU-Richtlinien (NIS2, CER)
2. nationale Umsetzungsgesetze (BSI-Gesetz, IT-SiG)
3. KRITIS-Verordnungen
4. Unternehmensinterne Sicherheitskonzepte
5. konkrete technische Umsetzung im Betrieb