Kritische Infrastrukturen (KRITIS)

Definition des Begriffs

Kritische Infrastrukturen, kurz KRITIS, englisch critical infrastructures, sind Einrichtungen, Anlagen oder Teile davon, die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind. Ihr Ausfall oder ihre Beeinträchtigung kann erhebliche Versorgungsengpässe, Gefahren für die öffentliche Sicherheit oder andere gravierende Folgen auslösen. Im Finanzmarktumfeld betrifft KRITIS vor allem Zahlungsverkehr, Bargeldversorgung, Wertpapierabwicklung, IT-Dienstleistungen und zentrale Datenverarbeitung. Rechtlich ist der Begriff in Deutschland insbesondere im BSI-Gesetz, in KRITIS-Verordnungen und in europäischen Cybersicherheitsvorgaben verankert.

Vorkommen und Verwendung

KRITIS wird von Betreibern, Aufsichtsbehörden, IT-Dienstleistern und Sicherheitsbehörden verwendet, um besonders schutzbedürftige Dienste zu identifizieren. Die Einstufung richtet sich nach Sektoren, Schwellenwerten und der Bedeutung einer Dienstleistung für die Versorgung. Wichtige Bereiche sind:

• Energie, Wasser, Ernährung, Gesundheit, Transport und Verkehr.
• Finanz- und Versicherungswesen, insbesondere systemrelevante Zahlungs- und Abwicklungsprozesse.
• Informationstechnik und Telekommunikation.
• Staat und Verwaltung, Medien und Kultur.

Betreiber müssen angemessene organisatorische und technische Vorkehrungen treffen, Sicherheitsvorfälle melden und Nachweise über ihre Schutzmaßnahmen erbringen.

Relevanz

KRITIS ist für Finanzmarktakteure wesentlich, weil digitale und operative Ausfälle unmittelbar auf Kunden, Marktinfrastrukturen und andere Institute wirken können. Zahlungsstörungen, Cyberangriffe oder Ausfälle zentraler Dienstleister können Liquidität, Marktvertrauen und Geschäftsfortführung beeinträchtigen. Die Einstufung als KRITIS-Betreiber führt zu erhöhten Anforderungen an Informationssicherheitsmanagement, Notfallmanagement, Lieferkettenkontrolle, Meldeprozesse und regelmäßige Prüfungen. Sie überschneidet sich mit Anforderungen an operationelle Resilienz, Auslagerungssteuerung und IT-Risikomanagement.

Beispiel / Synonyme oder verwandte Begriffe

Ein Beispiel ist ein Zahlungsverkehrsdienstleister, dessen Systeme täglich sehr große Transaktionsvolumina verarbeiten. Ein länger dauernder Ausfall könnte Banken, Händler und Endkunden zugleich betreffen.

• Kritische Dienstleistung, versorgungsrelevante Leistung innerhalb eines KRITIS-Sektors.
• Betreiber kritischer Anlagen, Unternehmen mit gesetzlich erfassten Schwellenwerten.
• Cyberresilienz, Fähigkeit zur Vorbeugung, Abwehr und Wiederherstellung nach IT-Störungen.
• Business Continuity Management, organisatorische Sicherung der Geschäftsfortführung.

Weitere Informationen

Relevante Grundlagen sind das BSI-Gesetz, die BSI-Kritisverordnung, das IT-Sicherheitsrecht und europäische Vorgaben wie NIS2 und DORA. Zuständig sind insbesondere das Bundesamt für Sicherheit in der Informationstechnologie, sektorale Aufsichtsbehörden und interne Kontrollfunktionen der Betreiber. Praktisch wichtig sind Schutzbedarfsanalysen, Angriffserkennung, Krisenübungen, Dienstleistersteuerung, Wiederanlaufpläne und belastbare Nachweise gegenüber Behörden. KRITIS-Vorgaben entwickeln sich dynamisch weiter, weil Abhängigkeiten von Cloud-Diensten, Plattformen, Netzen und Softwarelieferketten zunehmen.

Weiterführende Details, regulatorische Vorgaben und Methodikbeschreibungen finden Sie auf Regupedia: www.regupedia.de