Der Begriff KRI­TIS (Kri­ti­sche Infra­struk­tu­ren) bezeich­net Orga­ni­sa­tio­nen und Ein­rich­tun­gen aus Sek­to­ren, die für das Funk­tio­nie­ren des Gemein­we­sens unver­zicht­bar sind. Das BSI-Gesetz (BSIG) iden­ti­fi­ziert neun Sek­to­ren: Ener­gie, Was­ser, Ernäh­rung, Infor­ma­ti­ons­tech­nik und Tele­kom­mu­ni­ka­ti­on, Trans­port und Ver­kehr, Gesund­heit, Finanz- und Ver­si­che­rungs­we­sen, Sied­lungs­ab­fall­ent­sor­gung sowie staat­li­che und öffent­li­che Einrichtungen.

Inner­halb die­ser Sek­to­ren gel­ten Schwel­len­wer­te, ab denen ein Betrei­ber als KRI­TIS-Betrei­ber ein­ge­stuft wird. Im Gesund­heits­we­sen etwa sind das Kran­ken­häu­ser ab 30.000 voll­sta­tio­nä­ren Behand­lungs­fäl­len pro Jahr. KRI­TIS-Betrei­ber müs­sen nach §8a BSI-Gesetz ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Vor­keh­run­gen tref­fen, die­se alle zwei Jah­re nach­wei­sen (z. B. durch Audits) und erheb­li­che IT-Sicher­heits­vor­fäl­le dem BSI melden.

Das KRI­TIS-Dach­ge­setz erwei­tert den Resi­li­enz-Begriff auf phy­si­sche Sicher­heit: IT-Resi­li­enz und phy­si­sche Resi­li­enz (Schutz gegen Strom­aus­fall, Hoch­was­ser, phy­si­schen Zugang) müs­sen gemein­sam gedacht wer­den. Für KRI­TIS-Betrei­ber bedeu­tet das: Back­up-Infra­struk­tur muss sowohl gegen Cyber­an­grif­fe als auch gegen phy­si­sche Bedro­hun­gen abge­si­chert sein.

Im Kon­text von Daten­si­che­rung sind für KRI­TIS-Betrei­ber phy­sisch iso­lier­te Back­up-Sys­te­me () und Hard­ware- für die Archi­vie­rung beson­ders rele­vant: Ein nicht adres­sier­ba­res Spei­cher­me­di­um erfüllt die BSI-Anfor­de­rung nach einem netz­werk­un­ab­hän­gi­gen, unver­än­der­li­chen Back­up-Spei­cher auf die direk­tes­te mög­li­che Weise.

Fragen und Antworten

Krankenhäuser ab 30.000 vollstationären Behandlungsfällen pro Jahr fallen als Betreiber kritischer Infrastrukturen unter §8a BSI-Gesetz. Für den genauen Schwellenwert und die aktuell gültige Fassung der KRITIS-Verordnung empfiehlt sich eine direkte Prüfung beim BSI. KRITIS-Betreiber sind verpflichtet, angemessene technische und organisatorische Vorkehrungen zu treffen, deren Umsetzung alle zwei Jahre nachzuweisen und erhebliche Störungen dem BSI zu melden.
KRITIS-Betreiber, die ihre Nachweispflichten nicht erfüllen, riskieren Bußgelder nach §14 BSIG. Schwerwiegender ist jedoch das operative Risiko: Bei einem Cyberangriff ohne adäquate Schutzmaßnahmen ist eine schnelle Wiederherstellung des Betriebs gefährdet — und in kritischen Sektoren wie Gesundheit oder Energie können Betriebsunterbrechungen unmittelbar Menschen gefährden.