KRI­TIS-Prü­fung nach §8a BSIG

Zu den kri­ti­schen In­fra­struk­tu­ren zählen unter anderem folgende Sek­to­ren:

• En­er­gie
• In­for­ma­ti­ons­tech­nik und Te­le­kom­mu­ni­ka­ti­on
• Trans­port und Ver­kehr
• Ge­sund­heit
• Me­di­en und Kul­tur
• Was­ser­ver- und -entsorgung
• Ernährung
• Finanz- und Ver­si­che­rungs­we­sen
• Sied­lungs­ab­fall­ent­sor­gung
• Staat und Ver­wal­tung

Im Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft ge­tre­ten. Damit gelten die An­for­de­run­gen künftig nicht mehr nur für Be­trei­ber kri­ti­scher In­fra­struk­tu­ren (KRI­TIS), sondern auch für so­ge­nann­te „wichtige“ und „besonders wichtige Einrichtungen“. KRI­TIS-Be­trei­ber zählen dabei wei­ter­hin zu den be­son­ders wich­ti­gen Ein­rich­tun­gen.

Die Nach­weis­pflicht wurde im Zuge der ge­setz­li­chen An­pas­sun­gen von zwei auf drei Jahre verlängert. Für die Um­set­zung der neuen An­for­de­run­gen gilt eine Übergangsfrist von zwölf Monaten.

Für Fir­men, die von der Übergangsfrist be­trof­fen sind, gilt:

Der Nachweis für KRI­TIS-Be­trei­ber kann aktuell auf un­ter­schied­li­che Weise er­fol­gen. Grund­la­ge sind entweder vom BSI an­er­kann­te „Branchenspezifische Sicherheitsstandards“ (B3S) oder ge­eig­ne­te Normen, wie bei­spiels­wei­se ein Informationssicherheits-Managementsystem nach ISO 27001.

Ein wirk­sa­mes In­for­ma­ti­ons­si­cher­heits­ma­nage­ment schafft eine struk­tu­rier­te Grund­la­ge, , Si­cher­heits­ri­si­ken sys­te­ma­tisch zu bewerten und ge­eig­ne­te tech­ni­sche sowie or­ga­ni­sa­to­ri­sche Maßnahmen um­zu­set­zen.

Im Rahmen der KRITIS-Prüfung werden der Rei­fe­grad der re­le­van­ten Ma­nage­ment­sys­te­me sowie der Um­set­zungs­grad der Maßnahmen be­wer­tet.

• Rei­fe­grad des In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems (ISMS)
• Rei­fe­grad des Business Con­ti­nui­ty Ma­nage­ment Systems (BCMS)
• Rei­fe­grad der Systeme zur An­griffs­er­ken­nung (SzA)
• Um­set­zungs­grad or­ga­ni­sa­to­ri­scher Maßnahmen (OrgM)
• Um­set­zungs­grad per­so­nel­ler Maßnahmen (PerM)
• Um­set­zungs­grad phy­si­scher Maßnahmen (PhyM)
• Um­set­zungs­grad tech­ni­scher Maßnahmen (TecM)

Ge­gen­stand der Nachweisprüfung zur IT-Si­cher­heit ist die Be­wer­tung des Rei­fe­grads bzw. des Um­set­zungs­grads der Sicherheitsmaßnahmen. Ziel ist es, min­des­tens Rei­fe­grad 3 zu er­rei­chen.

Wird der er­for­der­li­che Rei­fe­grad nicht er­reicht, ist die Ursache als Mangel zu do­ku­men­tie­ren und ein Maßnahmenplan zu er­stel­len. Der Um­set­zungs­stand der Maßnahmen ist regelmäßig gegenüber dem BSI nach­zu­wei­sen. Wichtig dabei ist der Aspekt, dass sich Be­trei­ber Kri­ti­scher In­fra­struk­tu­ren kon­ti­nu­ier­lich ver­bes­sern.

Auch wenn die KRITIS-Prüfung nach struk­tu­rier­ten Vorgaben durchgeführt wird, hängen die Kosten von ver­schie­de­nen Faktoren ab. Maßgeblich ist unter anderem, ob bereits ein zer­ti­fi­zier­tes Ma­nage­ment­sys­tem eta­bliert und wirksam um­ge­setzt ist. Darüber hinaus be­ein­flus­sen die Größe und Komplexität Ihrer Or­ga­ni­sa­ti­on den Prüfaufwand und damit die Kosten. Eine pau­scha­le Angabe der Kosten ist daher nicht möglich. Gerne er­stel­len wir Ihnen ein in­di­vi­du­el­les Angebot auf Basis der je­wei­li­gen An­for­de­run­gen.

Kun­den­zen­trier­te Ex­zel­lenz: Sie als Kunde stehen im Mit­tel­punkt unseres Han­delns. Wir passen unsere Prozesse an Ihre spe­zi­fi­schen An­for­de­run­gen an – mit kurzen Re­ak­ti­ons­zei­ten, klarer Ori­en­tie­rung, voller Trans­pa­renz und maximal ef­fi­zi­en­ten Abläufen.

Stärkung pro­fes­sio­nel­ler Leis­tung: Die DQS unterstützt Ihr Un­ter­neh­men beim Wachs­tum, Markt­ein­tritt und der schnel­len Markteinführung Ihrer Produkte – mit Zer­ti­fi­zie­run­gen aller re­le­van­ten Stan­dards, einschließlich BSI-Nachweisprüfung, aus einer Hand.

Vor­aus­schau­en­des Den­ken: Die DQS geht über die reine Normkonformität hinaus und hilft Ihnen dabei, nach­hal­ti­ge Prak­ti­ken zu eta­blie­ren und Ihre Betriebsabläufe zu­kunfts­ori­en­tiert wei­ter­zu­ent­wi­ckeln.