KRITIS steht für Kritische Infrastrukturen: Organisationen und Anlagen, deren Ausfall die Versorgung der Bevölkerung gefährden würde. In Deutschland definiert die BSI-Kritisverordnung über Schwellenwerte, wer als Betreiber gilt. Mit NIS2 wird der Kreis der regulierten Einrichtungen deutlich erweitert.
KRITIS ist die Abkürzung für Kritische Infrastrukturen. Gemeint sind Organisationen und Anlagen mit so hoher Bedeutung für das Gemeinwesen, dass ihr Ausfall zu Versorgungsengpässen, Störungen der öffentlichen Sicherheit oder anderen gravierenden Folgen führen würde.
In Deutschland zählen unter anderem folgende Sektoren zu den Kritischen Infrastrukturen:
Ob eine Organisation als KRITIS-Betreiber reguliert ist, hängt von Schwellenwerten ab. Die BSI-Kritisverordnung (BSI-KritisV) legt je Sektor fest, ab welcher Größe eine Anlage als kritisch gilt, etwa anhand von Versorgungsgrad oder Nutzerzahlen. Wer darunter liegt, ist formal kein KRITIS-Betreiber, sollte die Anforderungen aber als Orientierung verstehen.
KRITIS-Betreiber müssen angemessene technische und organisatorische Vorkehrungen nach dem Stand der Technik treffen, dies gegenüber dem BSI nachweisen und erhebliche Störungen melden. Genau hier greift die Meldepflicht.
Mit der europäischen NIS2-Richtlinie wird der Kreis regulierter Organisationen deutlich größer. NIS2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen und geht über den klassischen KRITIS-Begriff hinaus. Viele Unternehmen, die bisher nicht reguliert waren, fallen künftig unter vergleichbare Pflichten.
Wie du KRITIS- und NIS2-Anforderungen praktisch umsetzt, zeigt unsere Lösung für Kritische Infrastrukturen.