Die KRITIS-Nachweis-Roadmap für den CISO
Kernaussage
Der KRITIS-Nachweis ist kein Einzelereignis, sondern eine Strecke mit fester Reihenfolge: erst Betroffenheit und Geltungsbereich klären, dann die methodische Grundlage wählen, die Lücke zum Soll bestimmen, die Prüfung planen, festgestellte Mängel beheben und schließlich den wiederkehrenden Nachweiszyklus etablieren.
Für das Management heißt das: Die Roadmap ist ein mehrjähriges Steuerungsthema, kein Projekt vor der Frist. Der CISO entscheidet nicht über das Ob des Nachweises, sondern über Reihenfolge, methodischen Weg und Taktung. Sauber sequenziert senkt sie Aufwand, Prüfrisiko und aufsichtsrechtliche Folgen zugleich.
Problem in der Praxis
Viele Organisationen beginnen am falschen Ende und wählen einen Standard oder Dienstleister, bevor klar ist, welche Anlage kritisch ist und wie weit der Geltungsbereich reicht. Steht die Methode vor dem Scope, entwerten spätere Korrekturen am Geltungsbereich bereits geleistete Arbeit.
Ein zweites Muster ist die fehlende Trennung von Pflicht, Werkzeug und Nachweis. Die Pflicht folgt aus dem BSI-Gesetz; ein branchenspezifischer Sicherheitsstandard (B3S) ist nur ein mögliches Werkzeug; der Nachweis ist der Beleg gegenüber dem BSI. Werden diese Ebenen vermischt, entsteht etwa die Fehlannahme, ein ISO/IEC-27001-Zertifikat decke den KRITIS-Nachweis automatisch ab. Verschärft wird das durch die Novelle: Mit der NIS2-Umsetzung im BSIG wurden die Paragraphen neu nummeriert, während ältere Unterlagen noch auf die alte Fassung verweisen.
CISO-Einordnung
Die Roadmap setzt auf drei getrennten Ebenen auf. Gesetzesebene ist das BSIG in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), verkündet im BGBl. 2025 I Nr. 301 und in Kraft seit dem 6.12.2025. Es verlangt Risikomanagement und Maßnahmen nach dem Stand der Technik sowie deren Nachweis. KRITIS-Betreiber gelten nach neuem BSIG zugleich als besonders wichtige Einrichtungen und unterliegen zusätzlich verschärften Pflichten.
Werkzeugebene ist der B3S: Einrichtungen und Branchenverbände können ihn vorschlagen, das BSI stellt die Eignung fest, erstellt ihn aber nicht selbst. Zentrale Anker sind das Risikomanagement nach Stand der Technik (nach derzeitigem Stand § 30 BSIG, Stand der Technik in Absatz 2), die besonderen Pflichten der Betreiber kritischer Anlagen (§ 31 BSIG, etwa Systeme zur Angriffserkennung) und die Nachweispflicht (§ 39 BSIG). Die B3S-Eignungsfeststellung ist in § 30 Abs. 8 und 9 BSIG verortet; maßgeblich ist der aktuelle Gesetzestext, vor der Novelle galt § 8a BSIG a. F. Nachweisebene ist der Beleg selbst: geführt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen, wobei aufgedeckte Sicherheitsmängel dem BSI mitzuteilen sind.
Umsetzungsperspektive
Die Roadmap gliedert sich in sechs aufeinander aufbauende Phasen:
- Betroffenheit und Scope: klären, welche Anlage kritisch ist und wie der Geltungsbereich geschnitten ist. Sektoren, Anlagenkategorien und Schwellenwerte ergeben sich aus dem BSIG i. V. m. der BSI-KritisV; deren Stand und Anpassung an das BSIG 2025 sind zu prüfen.
- Methodische Grundlage wählen: Ein festgestellter, einschlägiger B3S ist meist der effizienteste Bezugspunkt, da er branchentypische Gefährdungen abbildet und vom BSI anerkannt ist. B3S existieren aber nicht flächendeckend; fehlt ein passender, wird der Nachweis über ISO/IEC 27001 oder BSI IT-Grundschutz mit ergänzender, KRITIS-spezifischer Prüfung geführt.
- Gap-Analyse: Ist-Zustand gegen die gewählte Grundlage erheben und die Lücke bestimmen. Der Geltungsbereich muss die kritische Anlage vollständig erfassen, auch ausgelagerte oder veränderte Teilsysteme.
- Prüfung planen: Fälligkeitstermin und Prüfweg früh festlegen; geprüft wird durch qualifizierte, registrierte prüfende Stellen, deren genaue Registrierungs- und Qualifikationsanforderungen sich aus dem Regime des BSI ergeben und im Einzelfall zu prüfen sind.
- Mängel beheben: aufgedeckte Mängel dem BSI mitteilen und parallel über einen Behebungsplan mit Verantwortlichen und Terminen abarbeiten. Dieser Schritt gehört zur Roadmap, nicht in die Nacharbeit.
- Nachweiszyklus etablieren: Der Nachweis ist wiederkehrend zu erbringen; nach neuem Recht beträgt der Zyklus drei Jahre, die alte Fassung sah zwei vor. Nach Abgabe startet die Vorbereitung des nächsten Zyklus.
Wird ein B3S genutzt, ist dessen Geltung zu beachten: Die Eignungsfeststellung gilt nach Verwaltungspraxis nur befristet, mit individuellem Gültigkeitsdatum je B3S; die genaue Bindung ist nicht im Gesetz kodifiziert und zu prüfen. Ein abgelaufener B3S entbindet nicht von der Nachweispflicht.
Typische Fehler
- Die Methode wird vor dem Geltungsbereich gewählt, sodass spätere Scope-Korrekturen Arbeit entwerten.
- Pflicht, B3S als Werkzeug und Nachweis werden vermischt.
- Ein ISO-27001-Zertifikat wird ungeprüft als ausreichender KRITIS-Nachweis gewertet.
- Die Gap-Analyse erfasst ausgelagerte oder veränderte Teilsysteme nicht vollständig.
- Der alte Zwei-Jahres-Rhythmus wird fortgeschrieben, obwohl der Zyklus auf drei Jahre umgestellt wurde.
- Mängelbehebung und Mitteilung an das BSI werden als Nacharbeit statt als Roadmap-Schritt behandelt.
Risiken und Trade-offs
Die Bindung an einen B3S schafft Klarheit und Anerkennung, erzeugt aber Abhängigkeit von dessen Aktualität. Läuft eine Eignungsfeststellung aus, ist der Nachweis anderweitig zu führen; die konkrete Geltungsdauer ist im Einzelfall zu prüfen.
Der Prüfweg ist ein zweiter Trade-off: Audit, Prüfung und Zertifizierung unterscheiden sich in Aufwand, Aussagekraft und Wiederverwendbarkeit. Wer ein ISMS zertifiziert betreibt, kann Synergien heben, muss aber Scope und KRITIS-spezifische Aspekte ergänzen, da ein Zertifikat den Nachweis nicht automatisch abdeckt. Der längere Drei-Jahres-Zyklus senkt die Frequenz, vergrößert aber den Abstand, in dem unbemerkte Abweichungen entstehen; ohne interne Zwischenprüfungen wird Risiko in die Zukunft verlagert.
Schließlich besteht ein Rechts- und Aktualitätsrisiko: Mehrere Detailregeln (Paragraphenstand nach BSIG 2025, Prüfstellen-Regime, Geltung der B3S-Eignungsfeststellung, KRITIS-Schwellenwerte, Auslegung etwaiger Übergangsregeln) beruhen teils auf Praxis und Begleitdokumenten und sind vor verbindlichen Aussagen am aktuellen Stand zu prüfen.
Entscheidungspunkte
- Ist der Geltungsbereich präzise geschnitten, bevor die Methode gewählt wird?
- Gibt es einen festgestellten, einschlägigen B3S, oder wird über ISO/IEC 27001 bzw. IT-Grundschutz nachgewiesen?
- Welcher Prüfweg (Audit, Prüfung, Zertifizierung) passt zu Reifegrad, Budget und Zyklus?
- Wann ist der nächste Nachweistermin, und welche Übergangsregel ist im Einzelfall einschlägig?
- Wie werden Mängel priorisiert und dokumentiert, und wie wird die Gültigkeit von B3S-Eignungsfeststellung und Zertifikaten überwacht?
Praktische Empfehlungen
- Sequenzieren Sie bewusst: erst Betroffenheit und Scope, dann Methode, Gap, Prüfung, Mängel, Zyklus.
- Trennen Sie Pflicht, B3S als Werkzeug und Nachweis und kommunizieren Sie das intern.
- Behandeln Sie ein ISO-27001-Zertifikat als Baustein, nicht als fertigen KRITIS-Nachweis.
- Hinterlegen Sie das Fälligkeitsdatum mehrjährig und rechnen Sie vom Termin rückwärts, inklusive Vorlauf für Prüfkapazitäten und Nachbesserungen.
- Verankern Sie Mängelbehebung und Mitteilung an das BSI als festen Roadmap-Schritt.
- Verifizieren Sie Paragraphenstand, BSI-KritisV, Prüfstellen-Regime, B3S-Geltung und Übergangsregeln an den aktuellen BSI- und Gesetzesquellen.
Relevante Normreferenzen
- BSI-Gesetz (BSIG) in der Fassung des NIS2UmsuCG (BGBl. 2025 I Nr. 301, in Kraft seit 6.12.2025): Anker für Risikomanagement und Stand der Technik (nach derzeitigem Stand § 30 BSIG), besondere Pflichten der Betreiber kritischer Anlagen (§ 31 BSIG), Nachweispflicht (§ 39 BSIG) und B3S-Eignungsfeststellung (§ 30 Abs. 8 und 9 BSIG; frühere Entsprechung § 8a BSIG a. F.). Paragraphenstand am aktuellen Gesetzestext prüfen.
- BSI-KritisV: bestimmt Sektoren, Anlagenkategorien und Schwellenwerte; Stand und Anpassung an das BSIG 2025 vor verbindlichen Aussagen prüfen.
- BSI-Orientierungshilfen zu B3S und zu Nachweisen: methodische Bezugsdokumente des BSI.
- ISO/IEC 27001: möglicher methodischer Unterbau; deckt den KRITIS-Nachweis nicht automatisch ab (reference only).
- BSI IT-Grundschutz: alternativer bzw. komplementärer Unterbau, frei referenzierbar.
- NIS2-Richtlinie (RL (EU) 2022/2555): europäischer Rahmen, dessen Umsetzung das BSIG für kritische Anlagen konkretisiert.
Häufige Fragen
Womit beginnt die KRITIS-Nachweis-Roadmap?+
Mit Betroffenheit und Geltungsbereich, nicht mit der Methode. Erst danach lassen sich Methode, Gap-Analyse und Prüfung sinnvoll planen.
Muss ein B3S verwendet werden?+
Nein. Ein B3S ist eine anerkannte, aber freiwillige Nachweishilfe, deren Eignung das BSI feststellt. Fehlt ein einschlägiger B3S, wird über ISO/IEC 27001 oder BSI IT-Grundschutz mit ergänzender Prüfung nachgewiesen.
Reicht ein ISO-27001-Zertifikat?+
Nicht automatisch. Der Zertifikats-Scope muss die kritische Anlage und die gesetzlichen Anforderungen vollständig erfassen; meist sind ergänzende, KRITIS-spezifische Prüfaspekte nötig.
Wie oft ist der Nachweis fällig?+
Nach neuem BSIG in einem Drei-Jahres-Zyklus (zuvor zwei Jahre). Der konkrete Termin kann von Übergangsregelungen abhängen, die im Einzelfall zu prüfen sind.
Was passiert mit festgestellten Mängeln?+
Aufgedeckte Sicherheitsmängel sind dem BSI mitzuteilen und über einen Behebungsplan mit Verantwortlichen und Terminen abzuarbeiten.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen B3S / KRITIS-Nachweis prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: b3s-008.
