KRITIS-Beratung nach §8a BSIG für kritische Infrastrukturen.

Wer als Betreiber einer kritischen Infrastruktur eingestuft ist, muss alle zwei Jahre dem BSI nachweisen, dass angemessene technische und organisatorische Maßnahmen zum Schutz der Informationssicherheit getroffen sind. Wir begleiten Unternehmen durch diesen Nachweis-Prozess — mit Erfahrungs-Schwerpunkten in den Sektoren Gesundheitswesen und Energiewirtschaft.

9 Minuten Lesezeit · Themen: §8a BSIG, B3S, Nachweisführung
Inhalt
7 Abschnitte · 9 Minuten Lesezeit
  1. 01Was sind kritische Infrastrukturen?2 min
  2. 02Bin ich KRITIS-Betreiber? Schwellwerte und Sektoren2 min
  3. 03§8a BSIG — die zentrale Pflicht2 min
  4. 04B3S — branchenspezifische Sicherheitsstandards1 min
  5. 05Wie der §8a-Nachweis abläuft2 min
  6. 06Aufwand, Bußgelder und Konsequenzen bei Verstößen1 min
  7. 07Häufig gestellte Fragen3 min

Was sind kritische Infrastrukturen?

Kritische Infrastrukturen — kurz KRITIS — sind Anlagen, Einrichtungen oder Teile davon, deren Ausfall oder Beeinträchtigung erhebliche Versorgungs-Engpässe oder Gefährdungen der öffentlichen Sicherheit verursachen würde. Welche Unternehmen darunter fallen, regelt in Deutschland die BSI-Kritis-Verordnung (BSI-KritisV).

Die KritisV definiert zehn Sektoren mit jeweils spezifischen Schwellwerten:

  • Energie (Strom, Gas, Mineralöl, Fernwärme)
  • Wasser (Wasserversorgung, Abwasserentsorgung)
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Gesundheit (Krankenhäuser, Apotheken, Labore)
  • Finanz- und Versicherungswesen
  • Transport und Verkehr
  • Medien und Kultur
  • Staat und Verwaltung
  • Siedlungsabfallentsorgung

Ein Unternehmen gilt als KRITIS-Betreiber, wenn es in einem dieser Sektoren tätig ist und den jeweiligen Schwellwert überschreitet. Die Schwellwerte sind so kalibriert, dass typischerweise rund 500.000 versorgte Personen oder eine vergleichbare Größenordnung an Marktrelevanz erreicht werden müssen.

Bin ich KRITIS-Betreiber? Schwellwerte und Sektoren

Die Schwellwerte unterscheiden sich pro Sektor erheblich. Einige typische Beispiele:

  • Energie: Stromerzeuger ab 420 MW Nettoleistung, Gasversorger ab 5,2 Mrd. kWh Jahresabsatz
  • Wasser: Wasserversorger ab 22 Mio. m³ jährlich, Abwasser ab 22 Mio. m³ jährlich
  • Gesundheit: Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr
  • IT/TK: Rechenzentren ab 3,5 MW Anschlussleistung, Server-Farmen ab definierter Größe
  • Transport: Flughäfen ab definierten Passagierzahlen, Häfen ab Umschlagsmenge

Die genauen Werte stehen in den Anlagen zur BSI-KritisV und werden regelmäßig aktualisiert. Wer in einem dieser Sektoren agiert und sich in der Nähe der Schwellwerte bewegt, sollte den eigenen Status formal prüfen lassen. Eine falsche Einschätzung kann teuer werden — sowohl bei nicht erkannter Pflicht (Bußgeld-Risiko) als auch bei unnötig durchgeführten Nachweisen.

Wichtig: Die KritisV wurde durch das KRITIS-Dachgesetz und das NIS-2-Umsetzungsgesetz ergänzt. Viele Unternehmen, die heute unter NIS-2 fallen (siehe verwandtes Thema), werden zusätzlich durch die KritisV erfasst — oder umgekehrt. Die genaue Abgrenzung ist sektorspezifisch.

§8a BSIG — die zentrale Pflicht

Der Paragraf 8a des Bundesgesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) ist die zentrale Norm für KRITIS-Betreiber. Er verlangt zwei Dinge:

  1. Angemessene technische und organisatorische Maßnahmen. KRITIS-Betreiber müssen die Vertraulichkeit, Integrität und Verfügbarkeit ihrer informationstechnischen Systeme durch angemessene Vorkehrungen schützen. Was „angemessen“ bedeutet, definiert die Branche selbst über einen B3S (siehe nächster Abschnitt).
  2. Nachweisführung gegenüber dem BSI alle zwei Jahre. Der Betreiber muss dem BSI im Zwei-Jahres-Rhythmus belegen, dass die Maßnahmen umgesetzt sind. Die Nachweisführung erfolgt durch qualifizierte prüfende Stellen mit erweiterter Prüfverfahrenskompetenz.

§8a BSIG wurde durch das IT-Sicherheitsgesetz 2.0 erheblich verschärft. Heute umfasst die Pflicht auch ein System zur Angriffserkennung (SzA), das ungewöhnliche Aktivitäten in den IT-Systemen erkennen und melden kann. Diese Pflicht ist seit Mai 2023 in Kraft und Teil jeder §8a-Nachweisführung.

B3S — branchenspezifische Sicherheitsstandards

Ein B3S ist ein vom BSI anerkannter branchenspezifischer Sicherheitsstandard. Er konkretisiert, was „angemessene Maßnahmen“ in einer bestimmten Branche bedeuten. Beispiele:

  • B3S Krankenhaus (vom Bundesverband Deutscher Krankenhausapotheker entwickelt)
  • B3S Energie (verschiedene Standards für Strom, Gas, Fernwärme)
  • B3S Wasser/Abwasser
  • B3S IT-Dienstleister

Ein B3S ist nicht zwingend, aber praktisch gesehen die effizienteste Lösung. Wer einen anerkannten B3S erfüllt, gilt automatisch als „angemessen“ geschützt. Wer einen eigenen Sicherheitsstandard verfolgt, muss dessen Angemessenheit gegenüber dem BSI separat begründen — mit deutlich höherem Aufwand.

In den Sektoren Gesundheit und Energie, in denen wir Erfahrungs-Schwerpunkte haben, ist der jeweilige B3S der Standardweg. Wir bereiten den Nachweis konsequent auf Basis des B3S der Branche vor.

Wie der §8a-Nachweis abläuft

Der §8a-Nachweis ist ein strukturierter Audit-Prozess. Vier Phasen typischerweise:

  1. Vorbereitung und Selbsteinschätzung. Bestandsaufnahme der bestehenden Maßnahmen gegen den B3S der Branche. Identifikation von Lücken. Erstellung des Nachweis-Dokuments mit Beschreibung der Sicherheits-Architektur.
  2. Prüfung durch qualifizierte Auditoren. Eine vom BSI anerkannte prüfende Stelle mit erweiterter Prüfverfahrenskompetenz nach §8a Abs. 3 BSIG bewertet die Umsetzung der Maßnahmen. Wir bereiten diese Prüfung gemeinsam mit Ihnen vor und arbeiten mit einer entsprechend anerkannten prüfenden Stelle zusammen.
  3. Berichtserstellung und Vorlage beim BSI. Der Prüfbericht wird gemeinsam mit dem Nachweis dem BSI vorgelegt. Identifizierte Sicherheitsmängel müssen gemeldet werden — die Nachweisführung ist kein verstecktes Erfolgs-Zeugnis.
  4. Mängelbeseitigung und Re-Audit. Festgestellte Mängel werden mit Frist behoben und im nächsten Zyklus nachgewiesen. Wer Mängel ignoriert, riskiert Bußgelder und im Wiederholungsfall Sanktionen bis zur Betriebsuntersagung.

Aufwand, Bußgelder und Konsequenzen bei Verstößen

Der Aufwand für eine §8a-Nachweisführung hängt von drei Faktoren ab: Größe und Komplexität der Infrastruktur, Reife der bereits implementierten Sicherheitsmaßnahmen und Anzahl der Standorte. Eine pauschale Aussage ist deshalb nicht möglich — die konkrete Kalkulation erfolgt mandatsspezifisch und aufwandsbasiert nach der Bestandsaufnahme.

Die Konsequenzen bei Verstößen sind seit dem IT-Sicherheitsgesetz 2.0 deutlich verschärft. Bußgelder können bis zu zwei Millionen Euro betragen, im Wiederholungsfall sogar deutlich höher. Bei besonders schweren Verstößen sind Sanktionen bis zur teilweisen Betriebsuntersagung möglich.

Wichtiger als das Bußgeld ist in der Praxis oft die Reputations-Folge. Ein dokumentierter §8a-Mangel bei einem Krankenhaus oder Energieversorger ist eine öffentliche Information — das macht aus einem Compliance-Thema schnell eine PR-Krise.

Häufig gestellte Fragen

Sechs Fragen, die in fast jedem KRITIS-Erstgespräch vorkommen. Klicken Sie eine Frage an, um die Antwort zu sehen.

Wir sind ein Krankenhaus — ab wann genau sind wir KRITIS?

Krankenhäuser fallen unter KRITIS, wenn sie mehr als 30.000 vollstationäre Behandlungsfälle pro Jahr aufweisen. Universitätskliniken und größere Häuser der Maximalversorgung sind dadurch praktisch immer betroffen. Häuser knapp unter diesem Schwellwert sollten den Status formal prüfen, da bereits Einzelfälle mit fragebogenbasierten Erhebungen zu Einstufungen geführt haben.

Wer darf eine §8a-Nachweisführung durchführen?

Die formelle Nachweisprüfung erfolgt durch eine vom BSI anerkannte prüfende Stelle nach §8a Abs. 3 BSIG. Die dort tätigen Auditoren müssen die »erweiterte Prüfverfahrenskompetenz« für den jeweiligen Sektor nachweisen — durch Schulungen, Audit-Erfahrung und sektor-spezifische Expertise. Wir selbst bereiten Sie auf diese Nachweisprüfung vor und begleiten Sie durch den Prozess, mit Erfahrungs-Schwerpunkten im Gesundheitswesen und in der Energiewirtschaft. Die formelle Prüfung führt eine kooperierende anerkannte prüfende Stelle durch.

Was ist der Unterschied zwischen §8a BSIG und NIS-2?

§8a BSIG ist das ältere deutsche Recht für KRITIS-Betreiber, mit klar definierten Schwellwerten pro Sektor und einer Zwei-Jahres-Nachweisführung gegenüber dem BSI. NIS-2 ist die EU-weite Richtlinie, in Deutschland durch das NIS2UmsuCG umgesetzt — sie betrifft 18 Sektoren und über 30.000 Unternehmen, deutlich mehr als die klassische KRITIS-Regulierung. Viele Unternehmen sind heute von beidem betroffen.

Brauchen wir ein ISMS für KRITIS, oder reicht der §8a-Nachweis?

In der Praxis ist ein ISMS nach ISO 27001 oder BSI IT-Grundschutz die methodische Basis, auf der ein §8a-Nachweis aufgebaut wird. Der Nachweis selbst ist kein eigenes Managementsystem, sondern dokumentiert die Wirksamkeit eines bestehenden Sicherheits-Konzepts. Wer kein strukturiertes ISMS hat, baut den §8a-Nachweis in der Regel parallel zu einem ISMS-Aufbau.

Was bedeutet das System zur Angriffserkennung (SzA)?

Das SzA ist seit Mai 2023 Pflicht für KRITIS-Betreiber. Es muss ungewöhnliche Aktivitäten in den IT-Systemen erkennen, dokumentieren und meldepflichtig an das BSI weiterleiten können. Technisch ist das in der Regel eine Kombination aus SIEM (Security Information and Event Management), NDR (Network Detection and Response) und definierten Eskalations-Prozessen. Die Umsetzung ist Teil jeder §8a-Nachweisführung.

Was passiert, wenn wir den Nachweis nicht rechtzeitig erbringen?

Verzögerungen müssen dem BSI gemeldet und begründet werden. Wer den Nachweis ohne Begründung nicht erbringt, riskiert ein Bußgeldverfahren. Wer absichtlich Mängel verschweigt oder die Prüfung vereitelt, bewegt sich in einem ernsten ordnungswidrigkeits- oder strafrechtlichen Bereich. In der Praxis ist Transparenz gegenüber dem BSI immer die bessere Strategie als Vermeidung.

Unser Ansatz

Wie wir Sie bei der KRITIS-Nachweisführung unterstützen.

Wir bereiten die §8a-BSIG-Nachweisführung vor und begleiten Sie durch den Prozess — mit Erfahrungs-Schwerpunkten in den Sektoren Gesundheitswesen und Energiewirtschaft. Die formelle Nachweisprüfung führt eine vom BSI anerkannte prüfende Stelle nach §8a Abs. 3 BSIG durch, mit der wir während der Vorbereitung eng zusammenarbeiten.

Unser Vorgehen ist pragmatisch und auf den jeweiligen B3S der Branche zugeschnitten. Wir prüfen zunächst Ihren tatsächlichen KRITIS-Status, identifizieren Lücken zum branchenspezifischen Sicherheitsstandard, begleiten die Mängelbeseitigung und bereiten den Nachweis gegenüber der prüfenden Stelle vor. Auf Wunsch übernehmen wir auch die laufende ISB-Funktion zwischen den Zwei-Jahres-Zyklen.

Erstgespräch zur KRITIS-Nachweisführung.

30 Minuten. Wir klären, ob Ihre Einrichtung unter KRITIS fällt, welcher B3S relevant ist und wie der nächste §8a-Nachweis aussehen sollte.

Erstgespräch buchen Methodik kennenlernen →
Verwandte Themen

KRITIS kommt selten allein.

In der Regel überschneiden sich KRITIS-Pflichten mit weiteren Compliance-Themen:

NIS-2-Umsetzung Viele KRITIS-Betreiber fallen zusätzlich unter NIS-2 — oder umgekehrt Informationssicherheits-Managementsystem Ein ISMS nach ISO 27001 oder BSI IT-Grundschutz ist meist die methodische Basis Governance, Risk & Compliance Integriertes Risikomanagement verbindet §8a-Nachweis und ISMS-Betrieb