Was sind Kritische Infrastrukturen (KRITIS) und warum sind sie so schützenswert?

Einführung in die Welt der KRITIS 

Die Digitalisierung durchdringt sämtliche Bereiche unseres Lebens – und macht zugleich unsere Gesellschaft verwundbarer. Ein aktuelles Beispiel (28.04.2025) zeigt sich beim flächendeckenden Stromausfall in Spanien und Portugal. Ein weiteres prominentes Beispiel sind Cyberangriffe auf deutsche Seehäfen, die über Wochen hinweg logistische Ketten beeinträchtigten und wirtschaftliche Schäden verursachten. Solche Vorfälle zeigen: Kritische Infrastrukturen (KRITIS) sind längst ins Visier von Cyberkriminellen und geopolitischen Akteuren geraten.  

Gemäß § 2 Absatz 10 des Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSI-Gesetz – BSIG) sind KRITIS „Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind“. Ihr Ausfall oder ihre Beeinträchtigung kann die Versorgungssicherheit, Beschädigung systemrelevanter Infrastruktur oder Gefährdungen der öffentlichen Sicherheit nach sich ziehen. 

Vor diesem Hintergrund gewinnt der Schutz von KRITIS zunehmend an Relevanz – technisch, organisatorisch und regulatorisch.

Was sind Kritische Infrastrukturen? 

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen, deren Funktionieren für das Gemeinwesen essenziell ist. Ihr Ausfall könnte: 

• Versorgungsengpässe auslösen, 
• Störungen der öffentlichen Sicherheit verursachen, 
• oder andere nachhaltige, dramatische Folgen nach sich ziehen. 

Welche Einrichtungen zählen dazu? 

Basierend auf öffentlich zugänglichen Daten und den Kriterien der BSI-Kritisverordnung (Umsatz, Mitarbeiter:innenzahl, Systemrelevanz, etc.) zeigt die folgende Übersicht, wie viele Unternehmen in Deutschland je Sektor als Betreiber Kritischer Infrastrukturen potenziell relevant sind. 

Anteile potenziell relevanter KRITIS-Unternehmen nach Sektor (in %):

• Energie: 26 %
• Gesundheit: 20 %
• Finanz- und Versicherungswesen: 19 %
• Informationstechnik und Telekommunikation: 11 %
• Transport und Verkehr: 7 %
• Ernährung: 7 %
• Siedlungsabfallentsorgung: 5 %
• Wasser: 5 %

Quelle: openkritis; EU-weite Daten liegen aktuell nicht vor.

Wichtig: Abhängig von der jeweiligen nationalen Umsetzung der EU-Richtlinien wird künftig nicht nur die Größe eines Unternehmens, sondern primär dessen Relevanz für die Aufrechterhaltung der Versorgungslage eine Rolle spielen. 

Die wachsende Bedrohungslage 

Cyberangriffe auf kritische Infrastrukturen sind längst keine abstrakte Bedrohung mehr. Laut Berichten des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben Angriffe durch Ransomware, Supply-Chain-Attacken und gezielte Sabotageakte in den letzten Jahren deutlich zugenommen. 

Besonderes Augenmerk der Angriffe liegt auf der Verwundbarkeit an Schnittstellen zwischen Informations- und Betriebstechnologie (IT/OT). So kann ein erfolgreich eingeschleuster Trojaner nicht nur Daten stehlen, sondern die physische Steuerung von systemrelevanter Infrastruktur massiv beeinträchtigen. 

Die Folgen solcher Attacken sind gravierend:

• Produktionsstillstände 
• Versorgungsengpässe (z. B. Strom, Wasser) 
• Vertrauensverlust bei Bevölkerung und Geschäftspartnern 
• Haftungsrisiken und Bußgelder bei regulatorischen Verstößen 

Angesichts dieser Entwicklungen verschärfen nationale und europäische Gesetzgeber die Anforderungen an KRITIS-Betreiber kontinuierlich. 

Gesetzlicher Rahmen und Anforderungen 

NIS2-Richtlinie 

Die im Januar 2023 in Kraft getretene NIS2-Richtlinie (Network and Information Security Directive 2) bildet die zentrale europäische Antwort auf die Bedrohungslage. Bis spätestens Oktober 2024 muss sie in nationales Recht überführt sein. 

Kerninhalte der NIS2:

• Erweiterter Anwendungsbereich: Gegenüber der ersten NIS-Richtlinie, werden deutlich mehr Unternehmen erfasst, u.a. aus den Bereichen Raumfahrt, Abfallwirtschaft, Lebensmittelherstellung. 
• Striktere Sicherheitsanforderungen: Einführung von Risikomanagement-Maßnahmen, etwa zur IT-Sicherheit, Lieferkettensicherheit und Business Continuity. 
• Meldepflichten: Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet werden, eine detaillierte Aufklärung ist innerhalb von 72 Stunden nötig.  
• Haftung von Geschäftsführung: Führungsverantwortung wird explizit betont. Managementebenen haften persönlich für Versäumnisse. 
• Sanktionsmöglichkeiten: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes können bei Nichteinhaltung vergeben werden. 

CER-Richtlinie 

Parallel zur NIS2-Richtlinie trat im Januar 2023 die CER-Richtlinie (Critical Entities Resilience Directive) in Kraft. Sie verpflichtet Betreiber kritischer Einrichtungen, Risiken durch physische Bedrohungen wie Naturkatastrophen, Sabotage oder Terrorakte zu identifizieren und geeignete Resilienzmaßnahmen umzusetzen. Betroffen sind 11 Sektoren, darunter Energie, Transport, Gesundheit, Trinkwasser, öffentliche Verwaltung und Raumfahrt. Unternehmen gelten als „kritisch“, wenn sie zentrale Dienste für Gesellschaft, Wirtschaft oder Sicherheit bereitstellen – eine genaue Definition erfolgt national. Die Mitgliedstaaten müssen kritische Einrichtungen benennen und deren Schutz überwachen. Bis Oktober 2024 waren die Anforderungen in nationales Recht zu überführen

Wichtig: Viele Unternehmen fallen gleichzeitig unter NIS2 und CER und müssen daher integrierte Schutzkonzepte entwickeln, die sowohl IT/OT-Sicherheit als auch physische Resilienz umfassen. 

BSI-Kataloge und nationale Umsetzung 

Für deutsche Unternehmen relevant bleibt zusätzlich der bestehende BSI-Kritis-Katalog, der branchenspezifische Mindestanforderungen an IT-Sicherheit definiert. 

Mit der bevorstehenden Umsetzung der NIS2 wird es Anpassungen geben – Unternehmen sollten sich frühzeitig auf strengere Anforderungen einstellen. 

Best Practices für Unternehmen 

Welche Maßnahmen können Unternehmen umsetzen, um ihre Widerstandsfähigkeit gegen Cyberangriffe und Absicherung gegenüber Störungen effektiv zu erhöhen? 

1. Aufbau eines ISMS (Information Security Management Systems) nach ISO/IEC 27001 oder branchenspezifischen Standards (ISO/IEC 27017). 
2. Risikoanalysen inklusive zyklischer Reevaluierung, auch unter Berücksichtigung von Lieferkettenrisiken. 
3. Implementierung technischer Schutzmaßnahmen, wie Zero-Trust-Architekturen und Segmentierung von IT/OT. 
4. Schulung der Mitarbeitenden zur Sensibilisierung gegenüber Cyberrisiken. 
5. Notfallmanagement und Business Continuity Planning, abgestimmt auf die Anforderungen aus NIS2 und CER. 
6. Proof of Compliance: Dokumentation und Nachweisführung der umgesetzten Maßnahmen gegenüber Behörden und Auditoren. 
7. Kontinuierliches Monitoring und Incident Response Management zur schnellen Erkennung und Eindämmung von Angriffen. 

Bei konsequent umgesetzten Maßnahmen stellen Unternehmen nicht nur die regulatorische Compliance sicher – sie schaffen auch einen nachhaltigen Wettbewerbsvorteil durch höhere Resilienz und gestärktes Vertrauen ihrer Kunden und Partnern. 

Gemeinsam stark im Schutz Kritischer Infrastrukturen 

Die Anforderungen an Betreiber kritischer Infrastrukturen steigen exponentiell – und mit ihnen die Komplexität bei der Umsetzung technischer und organisatorischer Schutzmaßnahmen. EFS Consulting unterstützt Sie dabei umfassend mittels: 

• Gap-Analysen zur Identifikation von Verbesserungspotenzialen in Ihrer aktuellen Sicherheitsstruktur 
• Aufbau und Optimierung von ISMS nach ISO/IEC 27001, TISAX oder branchenspezifischen Standards 
• Vorbereitung auf Audits und Behördenprüfungen (Proof of Compliance) 
• Risikobewertungen und Business Continuity Planning 
• Awareness-Schulungen für Management und Mitarbeitende 
• Technische Beratung zu Themen wie Zero-Trust, OT-Security und Supply Chain Resilience 

Mit unserer tiefgreifenden Expertise in Informationssicherheit, Risiko- und Compliance-Management sowie branchenspezifischen KRITIS-Anforderungen begleiten wir Sie sicher durch den Dschungel neuer Vorgaben. 

Sichern Sie Ihre kritischen Strukturen – und Ihre Zukunft.  Kontaktieren Sie uns für ein unverbindliches Erstgespräch!