Przejdź do treści głównej
Infrastruktura krytyczna

KRITIS: ochrona infrastruktury krytycznej

Operatorzy infrastruktury krytycznej podlegają zaostrzonym obowiązkom BSIG 2025 oraz – od marca 2026 r. – KRITIS-Dachgesetz. Doprowadzamy Państwa do stanu zarejestrowanego, gotowego do audytu i odpornego: bezpieczeństwo IT i ochrona fizyczna z jednego źródła.

10

Sektory KRITIS

~1 300

Operatorzy infrastruktury krytycznej

3 lata

Cykl audytowy (§ 39 BSIG)

24/72 h

Terminy zgłaszania incydentów (§ 32 BSIG)

Podstawy

Czym jest infrastruktura krytyczna?

KRITIS to obiekty i systemy, których awaria spowodowałaby poważne niedobory w zaopatrzeniu lub zagroziłaby bezpieczeństwu publicznemu. W Niemczech BSI-Kritisverordnung określa, sektor po sektorze, które obiekty uznaje się za krytyczne – ich operatorzy podlegają szczególnym obowiązkom wobec BSI i BBK.

Krytyczne dla zaopatrzenia

Obiekty w dziesięciu sektorach, których awaria zagraża zaopatrzeniu ludności – od energii elektrycznej i wody po ochronę zdrowia i transport.

Dwa poziomy regulacji

Bezpieczeństwo IT zgodnie z BSIG 2025 (transpozycja NIS2) oraz – od marca 2026 r. – odporność fizyczna zgodnie z KRITIS-Dachgesetz (transpozycja CER).

Zaostrzone obowiązki

Operatorzy infrastruktury krytycznej są jednocześnie podmiotami kluczowymi – z dodatkowymi obowiązkami, takimi jak systemy wykrywania ataków i trzyletni audyt.

BSI i BBK

Nadzorowani przez BSI (bezpieczeństwo IT) i BBK (ochrona fizyczna). Rejestracja zostanie przeniesiona na wspólną platformę.

Zakres

Dziesięć sektorów KRITIS

BSI-Kritisverordnung wymienia dziesięć sektorów. To, czy Państwa obiekt uznaje się za krytyczny, zależy od progów specyficznych dla sektora – punktem odniesienia jest zaopatrzenie około 500 000 osób.

Energetyka

Energia elektryczna, gaz, paliwa i ciepło sieciowe

Woda

Zaopatrzenie w wodę pitną i ścieki

Żywność

Zaopatrzenie w żywność i logistyka

IT i telekomunikacja

Przesył głosu/danych, hosting IT

Ochrona zdrowia

Opieka stacjonarna, farmaceutyki, laboratoria

Finanse

Gotówka, obsługa płatności, obrót papierami wartościowymi

Ubezpieczenia społeczne

Świadczenia z ubezpieczeń społecznych

Transport i ruch

Lotniczy, kolejowy, wodny, drogowy, transport publiczny, logistyka

Przestrzeń kosmiczna

Infrastruktura naziemna – progi jeszcze do ustalenia

Komunalna gospodarka odpadami

Usuwanie odpadów komunalnych

W kontekście NIS2 dochodzą kolejne sektory, takie jak infrastruktura cyfrowa i administracja publiczna – łącznie 18 sektorów NIS2 zgodnie z BSIG 2025.

Obowiązki operatorów infrastruktury krytycznej

Podstawowe obowiązki zgodnie z BSIG 2025

Poza ogólnymi obowiązkami NIS2 operatorzy infrastruktury krytycznej mają dodatkowe, zaostrzone wymagania. Najważniejsze z nich w skrócie – z odpowiednimi paragrafami.

§ 33 BSIG

Rejestracja i punkt kontaktowy

Rejestracja w BSI i wyznaczenie punktu kontaktowego osiągalnego przez całą dobę.

§ 30 BSIG

Zarządzanie ryzykiem

Środki techniczne i organizacyjne na podwyższonym poziomie ochrony – w tym BCM, łańcuch dostaw i kryptografia.

§ 31 BSIG

Systemy wykrywania ataków

Stosowanie systemów wykrywania ataków (SzA) dla odpowiednich systemów IT, zgodnie z wytycznymi BSI.

§ 39 BSIG

Dowody audytowe co 3 lata

Dowody wdrożenia przedkładane BSI co trzy lata – w formie audytu, oceny lub certyfikacji.

§ 32 BSIG

Obowiązki zgłaszania

Zgłaszanie istotnych incydentów etapami: zgłoszenie wstępne w ciągu 24 h, ocena w ciągu 72 h, raport końcowy w ciągu jednego miesiąca.

KRITIS-Dachgesetz

Odporność fizyczna

Od marca 2026 r.: środki odporności wobec zagrożeń fizycznych pod nadzorem BBK (transpozycja CER).

KRITIS, NIS 2 i ustawa ramowa

Jak współdziałają poziomy regulacji

BSIG 2025 · bezpieczeństwo IT

  • Transponuje unijną dyrektywę NIS2 do prawa niemieckiego
  • Obowiązuje od 6 grudnia 2025 r.
  • Operatorzy infrastruktury krytycznej = podmioty kluczowe
  • Dodatkowe obowiązki: wykrywanie ataków (§ 31) i trzyletni audyt (§ 39)
  • Nadzór: BSI · kary pieniężne do 10 mln € lub 2% obrotu

KRITIS-Dachgesetz · fizyczna

Od 2026
  • Transponuje unijną dyrektywę CER do prawa niemieckiego
  • Obowiązuje od marca 2026 r. (BGBl. 2026 I nr 66)
  • Ochrona przed zagrożeniami fizycznymi: sabotaż, zdarzenia naturalne, insiderzy
  • Odporność, analiza ryzyka i rzetelność personelu
  • Nadzór: BBK wraz z BSI i krajami związkowymi

Oba poziomy dotyczą tych samych operatorów infrastruktury krytycznej – co łączy bezpieczeństwo IT i ochronę fizyczną w jedną koncepcję odporności.

Nasze usługi

Kompleksowe wsparcie dla operatorów KRITIS

Od oceny stosowalności po bieżące dowody audytowe – prowadzimy Państwa przez każdy obowiązek.

Ocena stosowalności

Sprawdzenie, czy osiągają Państwo progi BSI-Kritisverordnung.

  • Identyfikacja sektora i obiektu
  • Obliczenie progów
  • Klasyfikacja kategorii NIS2

Analiza luk BSIG 2025

Porównanie stanu docelowego i faktycznego z wymaganiami § 30 i § 31 BSIG.

  • Mapowanie istniejących środków
  • Ocena luk i ryzyka
  • Priorytetyzowany plan działań

Wykrywanie ataków (SzA)

Wdrożenie obowiązku SzA zgodnie z § 31 BSIG i wytycznymi BSI.

  • Zebranie wymagań według wytycznej OH SzA
  • Wybór monitoringu SIEM/IDS/OT
  • Przygotowanie dowodów audytowych

B3S i dowody audytowe

Stosowanie standardów branżowych i przejście trzyletniej procedury audytowej.

  • Identyfikacja właściwego B3S
  • Wdrożenie i audyty wewnętrzne
  • Procedura audytowa § 39 BSIG

Zgłaszanie i zarządzanie kryzysowe

Proces reagowania na incydenty zgodny z terminami zgłaszania § 32 BSIG.

  • Proces zgłaszania 24h/72h/1 miesiąc
  • Podłączenie do portalu zgłoszeniowego BSI
  • Ćwiczenia kryzysowe i komunikacja

Zgodność z KRITIS-Dachgesetz

Wdrożenie obowiązków odporności fizycznej pod nadzorem BBK.

  • Rejestracja na platformie BBK/BSI
  • Fizyczna analiza ryzyka
  • BCM i rzetelność personelu

Dlaczego DLAU do KRITIS?

Głębia regulacyjna

BSIG 2025, BSI-Kritisverordnung i KRITIS-Dachgesetz z jednego źródła

IT i fizyczna

Myślimy o odporności cybernetycznej i fizycznej łącznie

Gotowość do audytu

Doświadczenie w procedurach audytowych i ocenach BSI

Wiedza sektorowa

Projekty w ochronie zdrowia, energetyce, przedsiębiorstwach użyteczności publicznej i administracji publicznej

Wypełnić Państwa obowiązki KRITIS wspólnie?

Oceniamy, czy są Państwo objęci regulacją, zamykamy luki i prowadzimy przez rejestrację, dowody audytowe i zgłaszanie – aż będą Państwo gotowi do audytu.

Powiązane: Standardy bezpieczeństwa IT · NIS 2 · IT-Grundschutz