KRITIS Readiness

Ein KRITIS Readiness Assessment bewertet systematisch, wie gut Ihre Organisation auf die gesetzlichen Anforderungen zum Schutz kritischer Infrastrukturen vorbereitet ist. Es ist insbesondere dann sinnvoll, wenn Sie erstmals als KRITIS-Betreiber identifiziert wurden, vor einem §8a-Nachweis stehen, das KRITIS-Dachgesetz oder NIS 2 neue Anforderungen an Ihre Organisation stellt, oder Sie nach einer Übernahme oder Umstrukturierung Ihren Compliance-Status neu bewerten müssen. ADVISORI prüft dabei technische Maßnahmen, organisatorische Prozesse und Dokumentation gegen BSI-Vorgaben und branchenspezifische Standards.

Das Assessment prüft Ihre Compliance gegen alle relevanten regulatorischen Vorgaben: BSI-Gesetz (§8a BSIG) und IT-Sicherheitsgesetz 2.0, KRITIS-Dachgesetz (CER-Richtlinie), sektorspezifische Anforderungen wie EnWG, DORA oder Telekommunikationsgesetz, branchenspezifische Sicherheitsstandards (B3S), BSI IT-Grundschutz und ISO 27001/27002, sowie die Anforderungen an Systeme zur Angriffserkennung (SzA). Darüber hinaus bewerten wir physische Sicherheitsmaßnahmen, die mit dem KRITIS-Dachgesetz erstmals verbindlich geregelt werden.

Ein Readiness Assessment ist eine vorbereitende Bewertung, die Ihren aktuellen Reifegrad ermittelt und Lücken identifiziert, bevor ein formaler Nachweis fällig wird. Der §8a-Nachweis hingegen ist die gesetzlich vorgeschriebene Prüfung durch qualifizierte Prüfer, deren Ergebnis an das BSI übermittelt wird. Das Readiness Assessment gibt Ihnen die Möglichkeit, Schwachstellen frühzeitig zu beheben und sich gezielt auf den Nachweis vorzubereiten, anstatt bei der Prüfung mit Mängeln konfrontiert zu werden.

Die Dauer hängt von der Größe und Komplexität Ihrer Organisation ab. Für ein einzelnes Werk oder eine überschaubare Infrastruktur rechnen wir mit vier bis sechs Wochen. Bei komplexen Organisationen mit mehreren Standorten, vernetzten OT-Systemen oder mehreren KRITIS-Sektoren kann das Assessment acht bis zwölf Wochen dauern. Wir stimmen Interviewtermine und Dokumentenanfragen eng mit Ihren Teams ab, um den Aufwand für Ihr Tagesgeschäft gering zu halten.

Das KRITIS-Dachgesetz setzt die europäische CER-Richtlinie (2022/2557) in deutsches Recht um und erweitert den Fokus deutlich über IT-Sicherheit hinaus: Physische Sicherheit wie Zugangskontrollen und Sabotageprävention wird erstmals verbindlich geregelt, der Kreis betroffener Sektoren und Betreiber wird ausgeweitet, Risikoanalysen müssen umfassender durchgeführt und dokumentiert werden, und Resilienzpläne einschließlich Wiederherstellungsmaßnahmen werden Pflicht. Bestehende KRITIS-Betreiber müssen ihre Sicherheitskonzepte entsprechend ergänzen.

Ja, wir begleiten Sie durchgängig von der Bewertung bis zur nachgewiesenen Compliance. Nach dem Assessment unterstützen wir bei der Implementierung priorisierter Maßnahmen, der Einführung oder Erweiterung eines ISMS nach ISO 27001, der Entwicklung von Notfall- und Business-Continuity-Konzepten, der Vorbereitung auf §8a-Nachweise und behördliche Prüfungen sowie bei der Schulung Ihrer Mitarbeiter in KRITIS-relevanten Themen.