Zum Inhalt springen Zur Navigation springen
KRITIS mal anders: Betreiberpflichten – trotz externem ISB

KRITIS mal anders: Betreiberpflichten – trotz externem ISB

Artikel von Dr. Datenschutz·17. Oktober 2025

Auch wenn ein externer Informationssicherheitsbeauftragter (ISB) eingesetzt wird, verbleiben bestimmte Aufgaben und Verantwortlichkeiten zwingend beim Betreiber der kritischen Infrastruktur (KRITIS). Dieser Artikel zeigt auf, welche Abläufe und Pflichten im Unternehmen selbst wahrgenommen werden müssen.

Kontakt und Austausch mit dem BSI

KRITIS-Betreiber sind gesetzlich verpflichtet, die vorgeschriebenen Nachweis- und Kommunikationsprozesse mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eigenständig durchzuführen – unabhängig davon, inwieweit ein externer Dienstleister die ISMS-Prozesse unterstützt.

Der regelmäßige Informationsaustausch zwischen dem BSI als Aufsichtsbehörde und den Mitarbeitenden des KRITIS-Betreibers muss direkt erfolgen. Im Folgenden werden die wichtigsten Stellen und Zwecke dieses Austauschs erläutert.

Austausch mit dem KRITIS-Büro zur Institutionsverwaltung

KRITIS-Betreiber müssen ihre kritischen Infrastrukturen dem BSI bis zu einem festgelegten Zeitpunkt melden. Die Zuordnung der Infrastrukturen zu den jeweiligen Betreibern erfolgt beim BSI.

Die für KRITIS-Betreiber zwingend vorgeschriebene Einrichtung einer Kontaktstelle, also die Kommunikationsstelle, über die der KRITIS-Betreiber jederzeit für das BSI erreichbar ist, ist regelmäßig zu prüfen und dem BSI sind Änderungen mitzuteilen.

Für den erforderlichen Austausch von für den KRITIS-Betreiber wichtigen, schutzwürdigen und anderen formell nicht eingestuften Informationen und dem BSI gibt es ein standardisiertes Regelwerk, das Traffic Light Protocol (TLP).
Ein dazu befugter Mitarbeiter des KRITIS-Betreibers unterzeichnet gegenüber dem BSI die Erklärung zur Einhaltung der TLP-Regelungen. Dieser Mitarbeiter definiert auch die Prozesse zum Umgang mit den Informationen des BSI im Unternehmen. Dazu zählen auch die Unterweisungen zu den TLP-Regelungen des BSI bei den Mitarbeitenden des KRITIS-Betreibers.

Die Verwaltung der Institution (KRITIS-Betreiber) erfolgt online über das Melde- und Informationsportal (MIP2) des BSI. Hier legt der KRITIS-Betreiber Benutzer und deren Zugriffsrechte fest. Meldepflichtige Sicherheitsvorfälle sind über das MIP2-Portal an das BSI zu melden. Auch Informationen des BSI an KRITIS-Betreiber werden auf diesem Weg übermittelt.

Der Betrieb der Kontaktstelle für das BSI

Das BSI informiert KRITIS-Betreiber regelmäßig per E-Mail. Die Informationen werden an ein beim Betreiber eingerichtetes Funktionspostfach gesendet. Typische Inhalte sind:

  • Sicherheitsinformationen
  • Tageslageberichte
  • Monatslageberichte
  • Managementinformationen
  • Com-Checks

Geschützte Informationen müssen von autorisierten Personen (mit ihnen bekannten Vorgehensweisen) beim KRITIS-Betreiber entschlüsselt und gemäß den TLP-Vorgaben weiterverarbeitet werden.

Der Kontakt zur Sektorbetreuung beim BSI

Die KRITIS-Betreiber werden beim BSI entsprechend dem jeweiligen Sektor (Branche) zentral betreut.

Die Sektorbetreuung bearbeitet die vom KRITIS-Betreiber eingereichten Nachweise. Ggf. erfolgen Nachfragen oder Nachforderungen zu den eingereichten Nachweisen oder zum Stand der Abarbeitung von Mängellisten.

Die fristgerechte und vollständige Einreichung aller geforderten Nachweise liegt in der Verantwortung des KRITIS-Betreibers. Für den Dialog mit der Sektorbetreuung benennt der KRITIS-Betreiber einen verantwortlichen Mitarbeiter.

Die Teilnahme beim UP KRITIS

Im Regelfall ist der KRITIS-Betreiber auch Mitglied im UP KRITIS (Umsetzungsplan kritische Infrastrukturen). Die Art und der Umfang der Teilnahme des KRITIS-Betreibers am UP KRITIS ergibt sich aus seinen zu erfüllenden Anforderungen und den branchenspezifischen Informationen und Hinweisen.

Die Einrichtung und Verwaltung der Benutzerkonten des KRITIS-Betreibers bei der Kooperationsplattform UP KRITIS „BSCW Social“ obliegt allein dem KRITIS-Betreiber.

Sinnvollerweise wird die Kommunikation mit diesen Stellen beim BSI von einem Mitarbeiter des KRITS-Betreibers durchgeführt, der auch gleichzeitig Mitglied im ISMS-Team ist. Im besten Fall ist dies auch der ISMS-Koordinator des Unternehmens.

Der ISMS-Koordinator bündelt die Themen ums ISMS, koordiniert die Prozesse im Unternehmen und ist somit auch der erste Ansprechpartner für den externen ISB.

Verantwortung behalten, Unterstützung bekommen

Sollte es einem KRITIS-Betreiber nicht mehr möglich sein, die Besetzung der Stelle des ISB durch einen eigenen Mitarbeiter zu realisieren, ist eine externe Besetzung dieser Stelle unter Berücksichtigung der dargestellten Aspekte daher durchaus möglich. Die Betreiberpflichten und die direkte Verantwortung gegenüber dem BSI bleiben jedoch stets beim Unternehmen selbst.

Dieser Artikel ist Teil 3 der Serie „KRITIS mal anders“

In unserer Artikelreihe „KRITIS mal anders“ gehen wir auf die gesetzlichen Anforderungen für KRITIS-Unternehmen ein und den Wechsel vom internen zum externen Informationssicherheitsbeauftragten (ISB).

Die anderen Teile finden Sie hier:

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.