KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen mit Fokus auf KRITIS und Cyber Security. Wir wollen KRITIS-Betreibern, Prüfern und Verantwortlichen mit OpenKRITIS den Weg durch das IT-Sicherheitsgesetz 2.0 und EU-Regulierung erleichtern.
Das neue IT-Sicherheitsgesetz 2.0
- Für Betreiber mehr Security-Pflichten
- Neue Unternehmen als UBI
- Neuer Sektor KRITIS Entsorgung
- Mehr Anlagen und tiefere Schwellenwerte
- Für Vergehen deutlich höhere Strafen
KRITIS in a Nutshell
OpenKRITIS Briefings and Webinars und der Podcast:
Cyber Security Standards für KRITIS
Von Paul Weissmann am 15. April 2022
Nationale und internationale Security Standards können KRITIS-Betreibern beim Schutz ihrer Kritischer Infrastrukturen helfen, indem sie Cyber Security Maßnahmen und eine Vorgehensweise zum Umsetzung nach Stand der Technik definieren.
- Management von Informationssicherheit: Standards wie ISO 27001, BSI IT-Grundschutz und C5 definieren ein Managementsystem zum Umgang mit Risiken und Informationssicherheit (ISMS) — in der Regel mit verbindlicher Methodik, Struktur und Kontrollen.
- Branchen und Spezifika: Standards wie B3S, ISO 2701X, IEC 62443, die sich auf bestimmte Branchen und Technologien beziehen und spezifische Vorgaben für Sicherheitsmaßnahmen für branchenspezifische Anlagen oder IT/OT-Systeme definieren.
Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind (relativ) frei in der Auswahl von Standards.

DE Mapping von Cyber Security Standards und KRITIS
Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙
OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022
Webinar Notfallmanagement in Kritischen Infrastrukturen
Von Paul Weissmann am 28. März 2022, ⚡ aktualisiert am 2. Mai 2022
Notfälle in der IT, Cyber Angriffe und Krisen gefährden den Betrieb von KRITIS-Anlagen und die Versorgung der Allgemeinheit. Wie Betreiber mit BCM und IT-Notfallmanagement die Resilienz ihrer Kritischen Infrastrukturen erhöhen, besprechen wir im OpenKRITIS-Webinar:
- BCM im IT-Sicherheitsgesetz 2.0: Was müssen Betreiber beachten?
- Use Cases von BCM in KRITIS: Geltungsbereich, Angriffserkennung, Notfallpläne
- Diskussion und Austausch aus der Praxis
Update: Die Folien vom Webinar am 29. April sind nun als PDF online:

DE Notfallmanagement in Kritischen Infrastrukturen (PDF)
Welche Lücken BCM in Kritischen Infrastrukturen schliessen kann.
Webinar ∙ Registrierung über LinkedIn ∙ 29. April 2022
Neue Podcast-Folge 🎧 Aus der Praxis eines KRITIS-Prüfers
Von Paul Weissmann am 14. Februar 2022
KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen. Was diese Prüfungen bedeuten und wie sich Unternehmen am besten vorbereiten, verrät uns Lutz Naake, ein erfahrener KRITIS-Prüfer.
Wir sprechen über die Rolle von KRITIS-Prüfungen im IT-Sicherheitsgesetz, den Sinn von Prüfungen im Einmaleins der Cyber Security und wie Unternehmen die häufigsten Irrtümer und Fallstricke in BSIG-Nachweisprüfungen umgehen. Es lohnt sich!

KRITIS-Prüfungen bestehen – Erfahrungen aus der Praxis
Die Rolle von Prüfungen in Kritischen Infrastrukturen – wie Betreiber
sich auf Nachweis-Prüfungen vorbereiten.
Ein Gespräch über Helmkameras, 50 KRITIS-Anlagen und wie man Prüfungen (nicht) besteht.
Mit Lutz Naake
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 46 Min ∙ 14.2.2022
KRITIS und das Telekommunikationsgesetz 2.0
Von Paul Weissmann am 31. Januar 2022
KRITIS-Betreiber im Sektor IKT werden teilweise auch durch das Telekommunikationsgesetz reguliert, wenn sie öffentliche Telekommunikationsnetze oder -dienste betreiben. Für diese KRITIS-Anlagen sind nicht KRITIS-Maßnahmen verbindlich, sondern die Anforderungen für IT-Sicherheit im TKG, das 2021 umfangreich überarbeitet wurde.
Pflichten für IT-Sicherheit sind in §165-169 TKG reguliert — vormals im alten §109 TKG:
- Cyber Security Maßnahmen und Umsetzung Sicherheitskatalog 2.0
- Sicherheitskonzept und Sicherheitsbeauftragter
- Kritische Komponenten (5G-Netzwerke)
- Angriffserkennung und Meldepflichten BNetzA
Der Katalog von Sicherheitsanforderungen 2.0 der BNetzA beschreibt dazu Grundlagen für Sicherheitskonzept und zu treffende Maßnahmen bei TK-Betreibern:
Abschnitt | Sicherheitskatalog 2.0 |
---|---|
Sicherheitsmaßnahmen | Cyber Security Maßnahmen für TK-Anbieter und Betreiber |
Rechtliche Grundlagen | Fernmeldegeheimnis, personenbezogenen Daten, TK-Infrastruktur und Diensten |
Umsetzung | Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen |
TK mit IP-Infrastruktur | Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur |
Gefährdungspotenzial | Zusätzliche Sicherheitsanforderungen für Netze und Dienste erhöhter Kritikalität |

DE Mapping TKG Katalog 2.0 Maßnahmen und KRITIS
Abgleich vom Sicherheitskatalog 2.0 mit BSI KRITIS-Anforderungen.
PDF ∙
OpenKRITIS-Analyse vom Sicherheitskatalog 2.0 ∙ 2022
Einsatz von 5G im KRITIS-Sektor Telekommunikation
Von Paul Weissmann am 20. Januar 2022
Mit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber im Sektor Telekommunikation dem Innenministerium den Einsatz bestimmter IT-Systeme in Kritischen Infrastrukturen anzeigen. Diese Kritischen Komponenten nach §9b BSIG müssen in einzelnen Sektoren nch durch weitere Gesetze geregelt werden — im TK-Sektor erstmalig 2021 durch die Novelle des TKG.
Die BNetzA hat dazu mit dem BSI kritische Funktionen in 5G-Mobilfunknetzen festgelegt:
- Core network functions
- NFV management and network orchestration (MANO)
- Management systems and supporting services
- Radio Access Network (RAN)
- Transport and transmission
- Internetwork exchanges
Diese Systeme dürfen nur nach Zertifizierung und Freigabe eingesetzt werden.
Die aktuelle Lage der KRITIS-Regulierung in 2022
Von Paul Weissmann am 3. Januar 2022
Die Regulierung zu Kritischen Infrastrukturen befindet sich in Deutschland seit 2021 im Umbruch und wird 2022 weiter erneuert und ausgebaut.
Was hat sich alles geändert?
— erweiterte Gesetze, neue Verordnungen und noch ausstehende Entwicklungen:
2021
- IT-Sicherheitsgesetz 2.0: Das neue IT-SiG 2.0 erweitert vor allem KRITIS-Pflichten und staatliche Befugnisse im BSI-Gesetz und ist seit Mai 2021 in Kraft.
- KRITIS-Verordnung 2021 (1.5): Die Rechtsverordnung von 2021 (KritisV 1.5) definiert neue KRITIS-Anlagen und Schwellenwerte und ist seit Januar 2022 in Kraft.
2022
- KRITIS-Verordnung 2.0: Eine weitere Rechtsverordnung konkretisiert die Änderungen des IT-SiG 2.0 wie den KRITIS-Sektor Entsorgung und ist 2022 als KritisV 2.0 in Arbeit.
- UBI-Verordnung (UBI-VO): Eine eigene Rechtsverordnung UBI-VO definiert in 2022 die Unternehmen im besonderen öffentlichen Interesse (UBI).
- EU NIS2: Die neue NIS-Verordnung 2.0 für Cyber Security erweitert die Pflichten in der EU. Der Entwurf wird seit 2021 verhandelt und dann (2022?) in nationales Recht überführt.
- EU RCE: Die neue RCE-Verordnung macht Resilienz für Betreiber in der EU verpflichtend, und muss 2022 verabschiedet und in nationales Recht überführt werden.