Die KRITIS-Verordnung ist eine vom BSI vorgegebene Regelung, die bestimmt, welche Strukturen und Unternehmen in Deutschland unabdingbar (kritisch) sind. Diese müssen bestimmte Bedingungen einhalten und Vorgaben umsetzen, die sie vor Ausfall, Angriffen oder Zerstörung schützen können.
Die Verordnung sortiert dabei Unternehmen und Einrichtungen in bestimmte Sektoren ein, die bestimmte Voraussetzungen erfüllen müssen. Das Ziel der KRITIS-Verordnung ist die Verbesserung der IT-Sicherheit der betroffenen Unternehmen, um die Gesellschaft vor massiven Schäden und Beeinträchtigungen bei Cyberangriffen zu schützen.
Umgesetzt wird die KRITIS-Verordnung mithilfe einer verpflichtenden Prüfung, die strenge Kriterien erfüllen muss. Besonders im Mai 2023 steht dafür ein wichtiger Stichtag an, an welchem Unternehmen sich sicher sein sollten, ob sie unter die KRITIS-Verordnung fallen oder nicht und wenn ja, ob alle Vorgaben erfüllt sind. Denn bei Versäumnissen drohen empfindliche Geldstrafen. Besonders aktuell im Zuge internationaler Geschehnisse und vermehrter Angriffe auf deutsche Infrastruktur ist Verantwortungsbewusstsein angezeigt.
Grundsätzlich wird vorgegeben, dass Unternehmen eine Kontaktstelle aufbauen müssen und eine Organisation, die in der Lage ist, Störungen, Angriffe und Beeinträchtigungen sofort zu melden und eine IT-Sicherheit vorzuhalten, die gemäß dem Stand der Technik aufgestellt ist. Dies muss dem BSI alle zwei Jahre nachgewiesen werden.
Stand der Technik ist hierbei erst einmal auch ein juristischer Begriff, denn die technische Entwicklung ist immer schneller als die Gesetzgebung. Was als „Stand der Technik“ angesehen werden kann regeln entsprechende Normen. Beim Thema Datenschutz z. B. die ISO 27701/27001 und andere, auch internationale, Standards (IEC/NIS u. a.). Unternehmen sind hier in der Verantwortung gegenüber der Gesellschaft, up to date zu sein.
