Betreiber kritischer Infrastrukturen stehen unter hohem Druck, ihre IT- und OT-Systeme nicht nur zuverlässig, sondern auch nachweislich gemäß den Anforderungen des BSI-Gesetzes abzusichern. Wir begleiten Sie von der ersten Bestandsaufnahme über die Risikobewertung bis zur Umsetzung und Dokumentation der erforderlichen technischen und organisatorischen Maßnahmen. Dabei achten wir auf praxisgerechte Lösungen, die den laufenden Betrieb nicht stören, und sorgen dafür, dass Sie gegenüber Prüfstellen und Aufsichtsbehörden jederzeit nachweissicher aufgestellt sind.
(z.B. Elektrizität, Gas, Öl, Fernwärme, Wasserstoff)
(z.B. Luftfahrt, Bahn, Schifffahrt, Straße)
(z.B. Krankenhäuser, Hersteller kritischer Medizinprodukte)
(z.B. Internetknoten, DNS-Dienste, Cloud-Provider)
(z.B. Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
Als Betreiber kritischer Infrastrukturen müssen Sie nicht nur strenge gesetzliche Anforderungen erfüllen, sondern diese auch gegenüber Behörden und Prüfstellen lückenlos belegen können. Wir unterstützen Sie dabei, Sicherheitsmaßnahmen gezielt umzusetzen, Risiken zu minimieren und Nachweise rechtssicher vorzubereiten.
Beratungsgespräch anfordern%20-%20KRITIS%C2%A0%C2%A7%208a%20BSIG.avif)
Wir starten mit einer detaillierten Analyse Ihrer bestehenden Sicherheitsmaßnahmen, um Schwachstellen zu identifizieren und den Handlungsbedarf transparent darzustellen.
Auf Basis der Analyse entwickeln wir einen strukturierten Maßnahmenplan mit klaren Prioritäten, Meilensteinen und Verantwortlichkeiten, der Sie sicher zur Konformität führt.
Wir unterstützen Sie bei der Implementierung aller erforderlichen technischen und organisatorischen Maßnahmen, sorgen für reibungslose Abläufe und minimieren Ausfallzeiten.
Abschließend erstellen wir die erforderlichen Nachweise und Dokumentationen, bereiten Sie gezielt auf externe Audits vor und begleiten Sie bis zur vollständigen Erfüllung der Anforderungen.
Christian Wächter ist seit 2004 im IT-Umfeld tätig und verfügt über langjährige Erfahrung im Aufbau, Betrieb und der Auditierung von Informationssicherheits-Managementsystemen. Nach seiner Ausbildung zum IT-Systemelektroniker und seinem Studium zum staatlich geprüften Betriebswirt leitete er IT-Abteilungen, verantwortete komplexe IT-Infrastrukturprojekte und war als Produktverantwortlicher für Normen wie ISO 22237 tätig.
Heute ist er als akkreditierter Lead Auditor für ISO/IEC 27001 bei Deutschlands größten Zertifizierungsstellen berufen und berät Unternehmen aus unterschiedlichen Branchen, von KRITIS-Betreibern und Konzernen mit über 25.000 Mitarbeitenden bis hin zu innovativen Start-ups. Seine Auditerfahrung umfasst nationale und internationale Mandate in Bereichen wie Luftfahrt, Rüstungsindustrie, Energieversorgung, Finanzdienstleistungen, Rechenzentren und Softwareentwicklung.
Zusätzlich ist Christian Wächter TÜV-zertifizierter KI-Koordinator und verfügt über Prüfverfahrenskompetenz nach § 8a (3) BSIG. Als Mitglied im DIN-Arbeitskreis für Normierung in der Informationssicherheit bringt er sein Fachwissen aktiv in die Weiterentwicklung relevanter Standards ein.
Betreiber kritischer Infrastrukturen müssen gemäß § 8a BSIG gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse getroffen haben. Dieser Nachweis erfolgt in der Regel durch ein Audit, eine Prüfung oder eine Zertifizierung, die von einer qualifizierten Prüfstelle oder einer entsprechend akkreditierten Stelle durchgeführt wird. Die Prüfung muss den vom BSI veröffentlichten branchenspezifischen Sicherheitsstandards (B3S) oder vergleichbaren Normen entsprechen. Bestandteil des Nachweises sind unter anderem Prüfberichte, Dokumentationen der implementierten Sicherheitsmaßnahmen, Risikoanalysen sowie ein Abgleich mit den gesetzlichen Mindestanforderungen.
Die Fristen zur Umsetzung und Nachweisführung sind im BSIG und in den zugehörigen Rechtsverordnungen geregelt. Betreiber müssen spätestens alle zwei Jahre einen aktuellen Nachweis erbringen, dass ihre Sicherheitsvorkehrungen dem Stand der Technik entsprechen. Bei erstmaliger Einstufung als KRITIS-Betreiber gilt eine Umsetzungsfrist von in der Regel zwei Jahren ab Feststellung der Betroffenheit. Zudem sind besondere Fristen zu beachten, wenn neue branchenspezifische Sicherheitsstandards veröffentlicht oder gesetzliche Anpassungen in Kraft treten. In diesen Fällen ist oft innerhalb von sechs bis zwölf Monaten eine Anpassung der Sicherheitsmaßnahmen und eine erneute Prüfung erforderlich.
Die nach § 8a BSIG geforderten Maßnahmen orientieren sich am Stand der Technik und müssen geeignet sein, Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme zu verhindern. Technische Maßnahmen umfassen unter anderem Netzwerksicherheitsarchitekturen, Zugriffskontrollen, Verschlüsselungstechnologien, Intrusion Detection/Prevention Systeme (IDS/IPS) sowie regelmäßige Penetrationstests. Organisatorische Maßnahmen beinhalten klare Verantwortlichkeiten, Notfall- und Wiederanlaufpläne, regelmäßige Schulungen der Mitarbeitenden, kontinuierliches Risikomanagement sowie die Einbindung von Informationssicherheitsmanagementsystemen (ISMS) nach anerkannten Standards wie ISO 27001. Die Maßnahmen müssen dokumentiert, regelmäßig überprüft und an neue Bedrohungslagen angepasst werden.
Werden die Anforderungen nach § 8a BSIG nicht erfüllt, drohen KRITIS-Betreibern erhebliche rechtliche und wirtschaftliche Konsequenzen. Das BSI kann bei festgestellten Mängeln verbindliche Anordnungen zur Nachbesserung erlassen. Kommt ein Betreiber diesen nicht fristgerecht nach, sind Bußgelder möglich, die, abhängig vom Verstoß, bis zu mehreren Millionen Euro betragen können. Zusätzlich kann ein unzureichender Schutz zu erheblichen Reputationsschäden, dem Verlust von Kundenvertrauen sowie zu Vertrags- und Haftungsrisiken führen. Bei schwerwiegenden Sicherheitsvorfällen können zudem Schadensersatzforderungen von betroffenen Geschäftspartnern oder Kunden geltend gemacht werden.
Erfüllen Sie die Anforderungen an § 8a BSIG ohne Umwege: Wir begleiten Sie bis zur Zertifizierung und begleiten Ihre Prozesse.
Beratungsgespräch anfordern