BSI-Anforderungskatalog für KRITIS-Betreiber und Prüfer

Publiziert

18 March 2025

Autor

Jürgen Seiler

BSI-Anforderungskatalog für KRITIS-Betreiber und Prüfer

Dieser Artikel beleuchtet das BSI-Dokument „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 und Absatz 1a BSIG umzusetzenden Maßnahmen“ mit seiner Anforderungs- und Checkliste für KRITIS-Betreiber und Prüfer.

Das letztmals am 10.09.2024 aktualisierte BSI-Dokument „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 und Absatz 1a BSIG umzusetzenden Maßnahmen“ bietet eine detaillierte Anforderungs- und Checkliste für Betreiber Kritischer Infrastrukturen (KRITIS) und prüfende Stellen in Deutschland. Es konkretisiert die gesetzlichen Anforderungen gemäß § 8a Abs. 1 und 1a BSIG und definiert mit 135 Controls einen Quasi-Standard für die Cybersecurity in KRITIS. Zudem enthält der Katalog Prüfkriterien zur Bewertung der Sicherheitsvorkehrungen sowie Anforderungen an den physischen Schutz, wie in Abschnitt 2.7 zur baulichen Sicherheit beschrieben.

Wichtiger Hinweis:
Das aktuelle BSIG und damit auch der Anforderungskatalog sind solange gültig, bis das NIS2UmsuCG in Kraft tritt und es ein neues BSIG gibt. Dieses wird, abhängig von den politischen Entwicklungen, im Laufe des Jahres 2025 erwartet. Eine Fortschreibung des Anforderungskatalogs unter Berücksichtigung der Anforderungen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist geplant.

Das Wichtigste in Kürze:

BSI Anforderungskatalog für KRITIS-Betreiber und Prüfer

Der Anforderungskatalog bietet KRITIS-Betreibern und prüfenden Stellen eine Konkretisierung der Anforderungen des § 8a Absatz 1 und Absatz 1a BSIG.
Zudem stellt der Anforderungskatalog den prüfenden Stellen geeignete Kriterien für eine sachgerechte Prüfung der eingesetzten Sicherheitsvorkehrungen vor, um die geforderten Nachweise gemäß § 8a Absatz 3 BSIG erbringen zu können.
Das BSI-Dokument „Konkretisierung der Anforderungen (KdA)“ mit 135 Controls definiert als quasi-Standard für KRITIS-Betreiber grundlegende Cybersecurity-Anforderungen.
Der Anforderungskatalog enthält aber auch Anforderungen an den physischen Schutz:
- Siehe 2.7 Bauliche/physische Sicherheit (Seite 21)
  u.a.:
  72.Perimeterschutz (PS-01)
  73.Physischer Zutrittsschutz (PS-02)
  74.Schutz vor Bedrohungen von außen (PS-03)

Speziell zu: 72.Perimeterschutz (PS-01)

Es ist ein geeigneter Rahmen für die bauliche und physische Sicherheit, die zum sicheren Betrieb einer kritischen Dienstleistung notwendig ist, zu setzen.
Die Begrenzungen von Räumlichkeiten oder Gebäuden, die sensible oder kritische Informationen, Informationssysteme oder sonstige Netzwerkinfrastruktur beherbergen, sind physisch solide und durch angemessene Sicherheitsmaßnahmen geschützt, die dem Stand der Technik entsprechen.
Das Sicherheitskonzept beinhaltet die Einrichtung von verschiedenen Sicherheitszonen, die durch Sicherheitslinien als überwachte und gesicherte Übergänge zwischen den Zonen getrennt sind, wenn dies für den Schutz der kritischen Dienstleistung notwendig ist.

„Mit dem BSI-Anforderungskatalog erhalten KRITIS-Betreiber und Prüfer eine klare Leitlinie für die Umsetzung von Cyber- und physischen Sicherheitsmaßnahmen. “
Jürgen Seiler, Head of Business Development at Dallmeier electronic GmbH & Co.KG

Dallmeier Lösung: Panomera® Perimeter

Mit der Panomera® S4 Perimeter setzen wir einen neuen Standard im Perimeterschutz
Wo bisher mehrere Kameras, komplexe Infrastruktur und aufwändige Auswertungen notwendig waren, genügt nun ein einziges System.
Mit einem neuronalen Netz ausgestattet, das speziell für Perimeter Szenarien trainiert wurde, entsteht in Kombination mit der patentierten Panomera® Multifocal-Sensor-Technologie eines der leistungsfähigsten Perimeterschutzsysteme der Branche.
Definition von Vorzonen, Alarmzonen und Objekttypen
Erkennung von ungewöhnlichen Bewegungen auch von getarnten Personen
Automatische Verfolgung und Fokussierung auf erkannte Objekte

Weiterführende Info und weitere Vorteile Dallmeier Panomera Perimeter gibt es hier.

Weiterführende KRITIS-Informationen:
Info und Download „Praxisleitfaden Videotechnologie & KRITIS“

Weiterführende Info zum BSI-Anforderungskatalog:

BSI-Dokument „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 und Absatz 1a BSIG umzusetzenden Maßnahmen“ (PDF)
BSI Webseite Konkretisierung der KRITIS-Anforderungen (§ 8a Absatz 1 und Absatz 1a BSIG)

Gute weiterführende Informationen zum Anforderungskatalog (KdA) findet man wie immer auch bei OpenKRITIS

Über den Autor:

Jürgen Seiler

Head of Business Development
Dallmeier electronic GmbH & Co.KG

Regensburg

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website
m2c_accepted_hosts	Cookie um dauerhaft das Abspielen von Videos aus externen Quellen zuzulassen.	31 Tage	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ref	Wird benutzt, um die Informationen der Herkunftswebsite des Benutzers zu speichern.	6 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo
_pk_cvar	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo

Name	Zweck	Ablauf	Typ	Anbieter
reg_form_loaded	Wird benutzt, um das Newsletter-Banner ein- bzw. auszublenden.	31 Tage	HTTP	Website
reg_form_not_loaded	Wird benutzt, um das Newsletter-Banner ein- bzw. auszublenden.	7 Tage	HTTP	Website

BSI-Anforderungskatalog für KRITIS-Betreiber und Prüfer

„Mit dem BSI-Anforderungskatalog erhalten KRITIS-Betreiber und Prüfer eine klare Leitlinie für die Umsetzung von Cyber- und physischen Sicherheitsmaßnahmen. “

Newsletter