KRITIS: ochrona infrastruktury krytycznej
Operatorzy infrastruktury krytycznej podlegają zaostrzonym obowiązkom BSIG 2025 oraz – od marca 2026 r. – KRITIS-Dachgesetz. Doprowadzamy Państwa do stanu zarejestrowanego, gotowego do audytu i odpornego: bezpieczeństwo IT i ochrona fizyczna z jednego źródła.
Sektory KRITIS
Operatorzy infrastruktury krytycznej
Cykl audytowy (§ 39 BSIG)
Terminy zgłaszania incydentów (§ 32 BSIG)
Podstawy
Czym jest infrastruktura krytyczna?
KRITIS to obiekty i systemy, których awaria spowodowałaby poważne niedobory w zaopatrzeniu lub zagroziłaby bezpieczeństwu publicznemu. W Niemczech BSI-Kritisverordnung określa, sektor po sektorze, które obiekty uznaje się za krytyczne – ich operatorzy podlegają szczególnym obowiązkom wobec BSI i BBK.
-
Krytyczne dla zaopatrzenia
-
Obiekty w dziesięciu sektorach, których awaria zagraża zaopatrzeniu ludności – od energii elektrycznej i wody po ochronę zdrowia i transport.
-
Dwa poziomy regulacji
-
Bezpieczeństwo IT zgodnie z BSIG 2025 (transpozycja NIS2) oraz – od marca 2026 r. – odporność fizyczna zgodnie z KRITIS-Dachgesetz (transpozycja CER).
-
Zaostrzone obowiązki
-
Operatorzy infrastruktury krytycznej są jednocześnie podmiotami kluczowymi – z dodatkowymi obowiązkami, takimi jak systemy wykrywania ataków i trzyletni audyt.
-
BSI i BBK
-
Nadzorowani przez BSI (bezpieczeństwo IT) i BBK (ochrona fizyczna). Rejestracja zostanie przeniesiona na wspólną platformę.
Zakres
Dziesięć sektorów KRITIS
BSI-Kritisverordnung wymienia dziesięć sektorów. To, czy Państwa obiekt uznaje się za krytyczny, zależy od progów specyficznych dla sektora – punktem odniesienia jest zaopatrzenie około 500 000 osób.
Energetyka
Energia elektryczna, gaz, paliwa i ciepło sieciowe
Woda
Zaopatrzenie w wodę pitną i ścieki
Żywność
Zaopatrzenie w żywność i logistyka
IT i telekomunikacja
Przesył głosu/danych, hosting IT
Ochrona zdrowia
Opieka stacjonarna, farmaceutyki, laboratoria
Finanse
Gotówka, obsługa płatności, obrót papierami wartościowymi
Ubezpieczenia społeczne
Świadczenia z ubezpieczeń społecznych
Transport i ruch
Lotniczy, kolejowy, wodny, drogowy, transport publiczny, logistyka
Przestrzeń kosmiczna
Infrastruktura naziemna – progi jeszcze do ustalenia
Komunalna gospodarka odpadami
Usuwanie odpadów komunalnych
W kontekście NIS2 dochodzą kolejne sektory, takie jak infrastruktura cyfrowa i administracja publiczna – łącznie 18 sektorów NIS2 zgodnie z BSIG 2025.
Obowiązki operatorów infrastruktury krytycznej
Podstawowe obowiązki zgodnie z BSIG 2025
Poza ogólnymi obowiązkami NIS2 operatorzy infrastruktury krytycznej mają dodatkowe, zaostrzone wymagania. Najważniejsze z nich w skrócie – z odpowiednimi paragrafami.
Rejestracja i punkt kontaktowy
Rejestracja w BSI i wyznaczenie punktu kontaktowego osiągalnego przez całą dobę.
Zarządzanie ryzykiem
Środki techniczne i organizacyjne na podwyższonym poziomie ochrony – w tym BCM, łańcuch dostaw i kryptografia.
Systemy wykrywania ataków
Stosowanie systemów wykrywania ataków (SzA) dla odpowiednich systemów IT, zgodnie z wytycznymi BSI.
Dowody audytowe co 3 lata
Dowody wdrożenia przedkładane BSI co trzy lata – w formie audytu, oceny lub certyfikacji.
Obowiązki zgłaszania
Zgłaszanie istotnych incydentów etapami: zgłoszenie wstępne w ciągu 24 h, ocena w ciągu 72 h, raport końcowy w ciągu jednego miesiąca.
Odporność fizyczna
Od marca 2026 r.: środki odporności wobec zagrożeń fizycznych pod nadzorem BBK (transpozycja CER).
KRITIS, NIS 2 i ustawa ramowa
Jak współdziałają poziomy regulacji
BSIG 2025 · bezpieczeństwo IT
- Transponuje unijną dyrektywę NIS2 do prawa niemieckiego
- Obowiązuje od 6 grudnia 2025 r.
- Operatorzy infrastruktury krytycznej = podmioty kluczowe
- Dodatkowe obowiązki: wykrywanie ataków (§ 31) i trzyletni audyt (§ 39)
- Nadzór: BSI · kary pieniężne do 10 mln € lub 2% obrotu
KRITIS-Dachgesetz · fizyczna
Od 2026- Transponuje unijną dyrektywę CER do prawa niemieckiego
- Obowiązuje od marca 2026 r. (BGBl. 2026 I nr 66)
- Ochrona przed zagrożeniami fizycznymi: sabotaż, zdarzenia naturalne, insiderzy
- Odporność, analiza ryzyka i rzetelność personelu
- Nadzór: BBK wraz z BSI i krajami związkowymi
Oba poziomy dotyczą tych samych operatorów infrastruktury krytycznej – co łączy bezpieczeństwo IT i ochronę fizyczną w jedną koncepcję odporności.
Nasze usługi
Kompleksowe wsparcie dla operatorów KRITIS
Od oceny stosowalności po bieżące dowody audytowe – prowadzimy Państwa przez każdy obowiązek.
Ocena stosowalności
Sprawdzenie, czy osiągają Państwo progi BSI-Kritisverordnung.
- Identyfikacja sektora i obiektu
- Obliczenie progów
- Klasyfikacja kategorii NIS2
Analiza luk BSIG 2025
Porównanie stanu docelowego i faktycznego z wymaganiami § 30 i § 31 BSIG.
- Mapowanie istniejących środków
- Ocena luk i ryzyka
- Priorytetyzowany plan działań
Wykrywanie ataków (SzA)
Wdrożenie obowiązku SzA zgodnie z § 31 BSIG i wytycznymi BSI.
- Zebranie wymagań według wytycznej OH SzA
- Wybór monitoringu SIEM/IDS/OT
- Przygotowanie dowodów audytowych
B3S i dowody audytowe
Stosowanie standardów branżowych i przejście trzyletniej procedury audytowej.
- Identyfikacja właściwego B3S
- Wdrożenie i audyty wewnętrzne
- Procedura audytowa § 39 BSIG
Zgłaszanie i zarządzanie kryzysowe
Proces reagowania na incydenty zgodny z terminami zgłaszania § 32 BSIG.
- Proces zgłaszania 24h/72h/1 miesiąc
- Podłączenie do portalu zgłoszeniowego BSI
- Ćwiczenia kryzysowe i komunikacja
Zgodność z KRITIS-Dachgesetz
Wdrożenie obowiązków odporności fizycznej pod nadzorem BBK.
- Rejestracja na platformie BBK/BSI
- Fizyczna analiza ryzyka
- BCM i rzetelność personelu
Dlaczego DLAU do KRITIS?
Głębia regulacyjna
BSIG 2025, BSI-Kritisverordnung i KRITIS-Dachgesetz z jednego źródła
IT i fizyczna
Myślimy o odporności cybernetycznej i fizycznej łącznie
Gotowość do audytu
Doświadczenie w procedurach audytowych i ocenach BSI
Wiedza sektorowa
Projekty w ochronie zdrowia, energetyce, przedsiębiorstwach użyteczności publicznej i administracji publicznej
Wypełnić Państwa obowiązki KRITIS wspólnie?
Oceniamy, czy są Państwo objęci regulacją, zamykamy luki i prowadzimy przez rejestrację, dowody audytowe i zgłaszanie – aż będą Państwo gotowi do audytu.
Powiązane: Standardy bezpieczeństwa IT · NIS 2 · IT-Grundschutz