Wenn Infrastruktur ausfällt,
steht Deutschland still.

KRITIS-Betreiber sind Organisationen in 10 Sektoren (Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanz- und Versicherungswesen, Transport/Verkehr, Siedlungsabfallentsorgung, Weltraum, öffentliche Verwaltung), die sektorspezifische Schwellenwerte der BSI-KritisV überschreiten - typischerweise ab einer Versorgungsrelevanz für 500.000 Personen. Stand Dezember 2025 sind 1.179 Betreiber mit 2.136 Anlagen beim BSI registriert. Unter NIS-2 (NIS2UmsuCG, in Kraft seit 6. Dezember 2025) steigt die Zahl regulierter Einrichtungen auf ca. 30.000.

KRITIS (§8a/§8b BSIG) regelt seit 2015 die IT-Sicherheit kritischer Infrastrukturen - Pflicht zum Stand der Technik, Nachweis alle 2 Jahre, Meldepflicht. NIS-2 (NIS2UmsuCG, seit 6.12.2025) erweitert den Adressatenkreis massiv auf ca. 30.000 Einrichtungen in 18 Sektoren und verschärft Pflichten (24h-Meldepflicht, Geschäftsführerhaftung, Bußgelder bis 10 Mio. EUR/2% Umsatz). Das KRITIS-Dachgesetz (KRITISDachG, Bundestag 29.1.2026) setzt erstmals die CER-Richtlinie um und ergänzt physische Resilienz-Anforderungen: Perimeterschutz, BCM, Personalsicherheit, Krisenmanagement. Betreiber müssen alle drei Regelwerke gleichzeitig erfüllen.

Seit dem 1. Mai 2023 müssen alle KRITIS-Betreiber gemäß §8a(1a) BSIG Systeme zur Angriffserkennung (SzA) implementieren und deren Einsatz beim BSI nachweisen. SzA müssen fortlaufend und automatisiert geeignete Parameter und Merkmale aus dem laufenden Betrieb erfassen und auswerten, um Bedrohungen kontinuierlich zu identifizieren. Die BSI-Orientierungshilfe (OH SzA) definiert Reifegrade von 0-5; im ersten Nachweiszyklus gilt Reifegrad 3 als hinreichend, langfristig muss Reifegrad 4 nachgewiesen werden. Nachweise ohne SzA-Dokumentation werden als unvollständig zurückgewiesen.

Branchenspezifische Sicherheitsstandards (B3S) werden von Branchenverbänden entwickelt und vom BSI anerkannt. Sie konkretisieren den "Stand der Technik" für den jeweiligen Sektor. Aktuell vom BSI anerkannte B3S existieren u. a. für: Medizinische Versorgung (DKG), Wasserversorgung (DVGW/BDEW), Abwasserbeseitigung (DWA), Arzneimittelversorgung (vfa/BAH) und Fernwärme (AGFW). Auch ohne B3S müssen KRITIS-Betreiber den Nachweis nach §8a erbringen - dann orientiert sich die Prüfung direkt an der BSI-Konkretisierung der Anforderungen und ISO 27001.

Die Kosten variieren erheblich je nach Sektor und Angriffsschwere. Im Industriesektor liegen die durchschnittlichen Breach-Kosten bei 5,56 Mio. USD (IBM 2024, +18% ggü. Vorjahr). Ungeplante OT-Ausfallzeiten kosten bis zu 125.000 USD pro Stunde. In Deutschland verursachten Cyberangriffe 2024 einen Gesamtschaden von 266,6 Mrd. EUR (Bitkom). Der Angriff auf die Südwestfalen-IT kostete allein die IT-Genossenschaft 2,8 Mio. EUR - die 72 betroffenen Kommunen trugen weitere Millionen. 75% der Ransomware-Vorfälle in OT-Umgebungen führen zu teilweisem, 25% zu vollständigem Produktionsstopp (Dragos 2024).

OT-Sicherheit erfordert einen mehrschichtigen Ansatz: (1) Netzwerksegmentierung nach IEC 62443 Zones & Conduits - strikte Trennung zwischen IT und OT mit Industrial DMZ, Data Diodes und Deny-by-Default-Firewalls. (2) Inventarisierung aller OT-Assets inkl. PLCs, RTUs, SCADA-Systeme und deren Firmware-Versionen. (3) Passives Netzwerk-Monitoring (z. B. IDS/IPS für OT-Protokolle wie Modbus, DNP3, S7Comm), da aktive Scans empfindliche Steuerungssysteme stören können. (4) Patch-Management-Prozesse, die Wartungsfenster industrieller Systeme berücksichtigen. (5) Härtung von Engineering Workstations und Historian-Servern als typische Pivot-Punkte. Wir testen Ihre OT-Infrastruktur rückwirkungsfrei und identifizieren kritische Schwachstellen, ohne den Betrieb zu beeinträchtigen.

KRITIS-Pentests erfordern besondere Sorgfalt: (1) Scope-Definition gemeinsam mit dem Betreiber - welche Systeme sind kritisch, welche Wartungsfenster gelten? (2) Risikobasierte Priorisierung - lebens- und versorgungskritische Systeme werden besonders vorsichtig getestet, ggf. in Testumgebungen. (3) Durchführung nach anerkannten Standards (OWASP, PTES, BSI-Penetrationstest-Methodik). (4) Für OT-Umgebungen: rückwirkungsfreie Analyse - kein aktives Scanning von PLCs im Produktivbetrieb. (5) Festpreisangebot innerhalb von 24h, Ergebnisbericht in 5 Werktagen. (6) Management Summary für Geschäftsführung und Aufsichtsbehörden, technischer Bericht für IT/OT-Teams, Nachtest inklusive.

Die Sanktionen sind seit NIS-2 drastisch verschärft: Für besonders wichtige Einrichtungen (inkl. KRITIS-Betreiber) drohen Bußgelder bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis 7 Mio. EUR oder 1,4% des Umsatzes. Hinzu kommt persönliche Geschäftsführerhaftung - das BSI kann Leitungspersonen vorübergehend die Ausübung ihrer Funktion untersagen. Das BSI kann zudem den Einsatz bestimmter Komponenten verbieten und in extremen Fällen Zertifizierungen aussetzen. Fehlende oder unvollständige Nachweise nach §8a (inkl. SzA) werden vom BSI zurückgewiesen - mit Fristsetzung zur Nachbesserung.

Die wichtigsten aktuellen Fristen: (1) SzA-Nachweis: seit 1. Mai 2023 Pflicht - jeder §8a-Nachweis muss SzA-Dokumentation enthalten. (2) NIS2UmsuCG-Registrierung: bis 6. März 2026 müssen sich alle betroffenen Einrichtungen beim BSI registrieren. (3) KRITIS-Dachgesetz: Umsetzungsfrist für physische Sicherheitsmaßnahmen bis 17. Juli 2026. (4) §8a-Nachweis: weiterhin alle 2 Jahre gegenüber dem BSI. Wir unterstützen Sie bei der Gap-Analyse, Umsetzung und Nachweisführung - termingerecht und auditfest.

Drei Faktoren: Erstens vereinen wir offensive Security (Pentests, Red Teaming, Social Engineering), Beratung (ISMS, NIS-2, §8a-Nachweis) und Awareness (Phishing-Simulationen, Live Hacking) unter einem Dach - kein Zusammenspiel mehrerer Dienstleister nötig. Zweitens sind wir selbst ISO 27001-zertifiziert und als BSI-Forschungspartner aktiv - wir kennen den regulatorischen Rahmen nicht nur als Berater, sondern aus der Forschungsperspektive. Drittens arbeiten ausschließlich festangestellte, zertifizierte Experten - keine Freelancer, keine Subunternehmer, alle Daten in Deutschland. Auf Anfrage VS-NfD-konform.