Youtube Linkedin Mail-bulk
    Jetzt Mitglied werden!
    Meilenstein 1

    Betroffenheitsprüfung & Vorbereitung

    Identifikation, ob man als Betreiber kritischer Anlagen oberhalb der Schwellenwerte gilt. Ziel ist die Bewertung der eigenen Betroffenheit und das Verständnis relevanter Anforderungen.

    Zurück zur Timeline Übersicht

    Meilenstein 1 - Betroffenheitsprüfung & Vorbereitung

    Kernaufgabe: Es geht darum, die eigene Betroffenheit richtig zu bewerten und relevante gesetzliche sowie normative Anforderungen zu verstehen.

    Prüfkriterien der Betroffenheit:

    Prüfen Sie, ob Sie Dienstleistungen in Sektoren wie Energie, Wasser, Gesundheit, Telekommunikation oder Transport anbieten.

    Ermitteln Sie, ob von Ihren Dienstleistungen 500.000 Einwohner oder mehr abhängig sind.

    Stellen Sie sicher, ob Sie trotz Unterschreitens der Schwellenwerte eine besondere regionale Relevanz besitzen (z. B. fehlende alternative Dienstleister im selben Sektor).

    Auch Zulieferer für KRITIS-Betreiber oder Hersteller von Chemieprodukten sollten sich frühzeitig mit dem Risikomanagement befassen, da Kunden Schutzmaßnahmen verlangen könnten.

    Themenbereich Inhalte & Anforderungen User Story & Kriterium
    Zielgruppe &
    Kernaufgabe
    • Fokus: Betreiber, Planer, Hersteller, Integratoren und Entscheider Kritischer Infrastrukturen.
    • Aufgabe: Die eigene Rolle und Verantwortung im Rahmen des KRITIS-DachG klären, Betroffenheit bewerten und gesetzliche/normative Anforderungen verstehen.
    		 User Story: Als verantwortlicher Entscheider möchte ich meine gesetzliche Rolle eindeutig klären, um die KRITIS-Compliance meiner Organisation von Beginn an sicherzustellen.

    Kriterium: Betroffenheit und daraus resultierende gesetzliche Anforderungen sind formell bewertet und im Management dokumentiert.
    Prüfkriterien der
    Betroffenheit
    • Sektoren: Bieten Sie Dienste in Energie, Wasser, Gesundheit, Telekommunikation oder Transport an?
    • Schwellenwert: Sind ≥ 500.000 Einwohner von Ihren Dienstleistungen abhängig?
    • Regionale Relevanz: Gibt es eine besondere Abhängigkeit trotz Unterschreiten des Schwellenwerts (z. B. keine alternativen Anbieter)?
    • Supply Chain: Zulieferer und Hersteller (z. B. Chemie) müssen ebenfalls Risikomanagement betreiben, da KRITIS-Kunden Schutzmaßnahmen fordern.
    		 User Story: Als Betreiber möchte ich systematisch prüfen, ob wir unter die Schwellenwerte oder Ausnahmeregelungen fallen, um rechtliche Sicherheit zu haben.

    Kriterium: Alle Sektoren, Nutzerzahlen und die regionale Lieferkettenrelevanz sind messbar evaluiert worden.
    Wichtige
    Vorbereitungs-Tools
    • DIN SPEC 14027 (2026): Grundlage für die Stärkung der physischen Resilienz.
    • Schutzbedarfsermittlung: Kapitel 5 der DIN SPEC nutzen, um individuelle Anforderungen zu identifizieren.
    • Standortsicherheit: Kapitel 11 der DIN SPEC bietet Orientierung für die physische Anlagenabsicherung.
    		 User Story: Als Sicherheitsplaner möchte ich standardisierte Normen anwenden, um die Schutzbedarfsermittlung und Standortsicherheit fachgerecht aufzubauen.

    Kriterium: DIN SPEC 14027 liegt vor und Kapitel 5 & 11 sind als konkreter Planungsmaßstab definiert.
    Strategie &
    Verantwortung
    • Vorteil durch Zeit: Ein frühzeitiges Handeln sichert Gestaltungsspielräume und vermeidet regulatorischen Prüfungsdruck.
    • Commitment: Resilienz wird zur unternehmerischen, gesellschaftlichen und persönlichen Selbstverpflichtung, um systemische Ausfälle zu vermeiden.
    		 User Story: Als Geschäftsführung möchte ich proaktiv handeln, um finanzielle und strukturelle Gestaltungsspielräume zu bewahren.

    Kriterium: Eine Resilienzstrategie ist offiziell initiiert und als unternehmerische Priorität kommuniziert, bevor gesetzliche Fristen verstreichen.

    Fristen & Meilensteine im Überblick

    Meilenstein Frist / Datumsgrenze User Story & Kriterium
    Registrierungsstart Frühestens ab dem 17.07.2026
    (§ 8 KRITIS-DachG)    		 User Story: Als Betreiber möchte ich den frühestmöglichen Registrierungsstart nutzen, um den Zugang zum behördlichen Portal rechtzeitig einzurichten.
    Kriterium: Portalzugang ist erfolgreich angelegt und verifiziert.
    Registrierungsfrist
    (Bestand)    		 Endet am 17.10.2026 User Story: Als Bestandseinrichtung muss ich die harte Meldefrist wahren, um gesetzliche Sanktionen zu vermeiden.
    Kriterium: Vollständige Registrierung der Einrichtung ist vor Stichtag abgeschlossen.
    Registrierung
    (Neuanlagen)    		 Binnen 3 Monaten nach Feststellung der Betroffenheit User Story: Als neuer Betreiber möchte ich einen klaren Prozess haben, um nach Feststellung der KRITIS-Relevanz fristgerecht zu handeln.
    Kriterium: Registrierung ist als fester Schritt im Inbetriebnahme-Prozess verankert.
    Erste Risikoanalyse Spätestens 9 Monate nach der Registrierung User Story: Als Risikomanager muss ich die initiale Analyse fristgerecht beenden, um die fundierte Basis für alle weiteren Resilienzmaßnahmen zu legen.
    Kriterium: Gefährdungsanalyse ist vollständig dokumentiert und vom Management abgenommen.
    Umsetzung
    Resilienzmaßnahmen    		 Erstmals 10 Monate nach der Registrierung User Story: Als technischer Leiter muss ich die Umsetzung der definierten Maßnahmen steuern, um die physische Härtung der Anlage nachzuweisen.
    Kriterium: Resilienzplan ist implementiert und die Maßnahmen sind operativ wirksam.
    Inzidenz-Meldung Erstmeldung spätestens 24 Stunden nach Kenntnisnahme User Story: Als Mitglied des Krisenteams muss ich bei Vorfällen sofort handlungsfähig sein, um die 24-Stunden-Frist für das initiale Lagebild zu erfüllen.
    Kriterium: Initiale Vorfallmeldung ist erfolgreich an das BSI/BBK abgesetzt.
    Ausführlicher
    Vorfallbericht    		 Spätestens 1 Monat nach der Kenntnisnahme des Vorfalls User Story: Als Incident Manager benötige ich Zeit für eine Ursachenanalyse, muss aber den gesetzlichen Monatsbericht pünktlich einreichen.
    Kriterium: Detaillierter Post-Mortem-Bericht inklusive Abstellmaßnahmen liegt der Behörde vor.
    Regelmäßiger
    Review-Zyklus    		 Mindestens alle 4 Jahre
    (Risikoanalyse & Resilienzplan)    		 User Story: Als Geschäftsführung möchte ich einen festen Audit-Zyklus etablieren, um sicherzustellen, dass unsere Resilienz dauerhaft dem Stand der Technik entspricht.
    Kriterium: Re-Zertifizierung und Prüfung des Plans sind als wiederkehrende Aufgabe im ISMS terminiert.

    Hilfreiche Ressourcen und Verlinkungen

    1. Normen & Standards

    ▶ DIN SPEC 14027
    Beschreibung: Bietet Anforderungen zur Stärkung der physischen Resilienz von Organisationen und dient als fachliche Orientierung.

    🔗 Link: Zu DIN Media (DIN SPEC 14027)

    User Story: Als Sicherheitsverantwortlicher möchte ich die aktuellen Anforderungen kennen, um meine Organisation gezielt nach fachlichen Orientierungen auszurichten.

    • Kriterium: Das Dokument ist beschafft und den zuständigen Planern zugänglich.
    • Kriterium: Eine initiale Gap-Analyse (Soll/Ist-Abgleich) der Prozesse wurde durchgeführt.
    ▶ Nationale Wirtschaftsschutzstrategie
    Beschreibung: Das zentrale Strategiepapier des BMI zur Absicherung der deutschen Wirtschaft gegen Spionage, Sabotage und kriminelle Übergriffe.

    🔗 Link: Zur Nationalen Wirtschaftsschutzstrategie (PDF)

    User Story: Als Risikomanager möchte ich die nationale Strategie einbeziehen, um unser Bedrohungsmodell an die aktuelle staatliche Gefährdungslage anzupassen.

    • Kriterium: Die Strategie wurde analysiert und relevante Handlungsempfehlungen für das Unternehmen wurden identifiziert.
    • Kriterium: Interne Sicherheitskonzepte wurden mit den Zielen der Wirtschaftsschutzstrategie abgeglichen.
    ▶ VfS FAQ zum KRITIS-Dachgesetz
    Beschreibung: Praxisnahe Fragen und Antworten rund um das KRITIS-Dachgesetz und die Anforderungen an Betreiber.

    🔗 Link: Zu den VfS KRITIS-FAQ

    User Story: Als Betreiber möchte ich Antworten auf gängige Praxisfragen erhalten, um Unklarheiten bei der Gesetzesauslegung effizient zu beseitigen.

    • Kriterium: Die FAQ werden regelmäßig zur Klärung interner Fragestellungen herangezogen.
    • Kriterium: Erkenntnisse aus den FAQ fließen direkt in die interne Maßnahmenplanung ein.
    ▶ Planungshandbuch „Physische Sicherheit“
    Beschreibung: Speziell der Band „Perimetersicherung“ bietet konkrete Hilfe für die technische Umsetzung der Anforderungen.

    🔗 Link: Zu den VfS-Publikationen & Handbüchern

    User Story: Als technischer Planer möchte ich konkrete bauliche Vorgaben erhalten, um unsere Liegenschaften normgerecht abzusichern.

    • Kriterium: Der Band „Perimetersicherung“ liegt der technischen Planungsabteilung vor.
    • Kriterium: Aktuelle Schutzmaßnahmen am Perimeter wurden gegen die Empfehlungen des Handbuchs evaluiert.

    2. Organisationen & Behörden

    ▶ BMI (Bundesministerium des Innern und für Heimat)
    Beschreibung: Federführendes Ministerium für das KRITIS-Dachgesetz und zuständig für die strategische Ausrichtung der inneren Sicherheit.

    🔗 Link: Zum BMI: Kritische Infrastrukturen

    User Story: Als Compliance-Verantwortlicher möchte ich die strategischen Leitlinien des Ministeriums kennen, um die langfristige Konformität sicherzustellen.

    • Kriterium: Strategische Veröffentlichungen des BMI werden im Management-Review berücksichtigt.
    • Kriterium: Die gesetzlichen Rahmenbedingungen werden kontinuierlich auf Aktualisierungen durch das Ministerium überwacht.
    ▶ BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)
    Beschreibung: Die zuständige Behörde für die Koordination und Prüfung der Resilienzpläne.

    🔗 Link: Zum BBK: Kritische Infrastrukturen

    User Story: Als Betreiber möchte ich die behördlichen Anforderungen exakt kennen, um eine erfolgreiche Prüfung unserer Resilienzpläne sicherzustellen.

    • Kriterium: Die aktuellen Leitfäden des BBK zur Resilienzplanung wurden systematisch gesichtet.
    • Kriterium: Ein interner Resilienzplan ist erstellt und orientiert sich strikt an den BBK-Vorgaben.
    ▶ BSI (Bundesamt für Sicherheit in der Informationstechnik)
    Beschreibung: Betreiber des gemeinsamen Meldeportals für IT- und physische Vorfälle.

    🔗 Link: Zum BSI: Kritische Infrastrukturen

    User Story: Als Meldepflichtiger möchte ich das gemeinsame Meldeportal reibungslos bedienen können, damit bei Vorfällen keine wertvolle Zeit verloren geht.

    • Kriterium: Zugänge und Rollenberechtigungen für das Meldeportal sind unternehmensweit eingerichtet.
    • Kriterium: Die interne 24/7-Meldekette ist definiert und mindestens einmal erfolgreich getestet.
    ▶ VfS (Verband für Sicherheitstechnik e.V.)
    Beschreibung: Bietet Unterstützung durch den Arbeitskreis KRITIS und stellt praxisnahes Orientierungswissen bereit.

    🔗 Link: Zum VfS: Themenschwerpunkt KRITIS

    User Story: Als Sicherheitsfachkraft möchte ich mich vernetzen, um von Best Practices des Arbeitskreises KRITIS zu profitieren.

    • Kriterium: Orientierungswissen und Publikationen des AK KRITIS werden als Maßstab genutzt.
    • Kriterium: Eine Mitgliedschaft oder Entsendung eines Mitarbeiters in den Verband wurde evaluiert.

    Kontakt

    • Eulenkrugstraße 7, 22359 Hamburg
    • +49 40 21970010
    • info@vfs-hh.de

    Mitgliedschaft im Verband

    Ihr Vorteil

    Wir informieren umfassend und produktunabhängig über neue Entwicklungen in der Sicherheitstechnik. Dabei stehen die Bedürfnisse der Anwender/Nutzer im Vordergrund. Aktuelle Entwicklungen bei Bedrohungsszenarien, technischer Fortschritt bei der Entwicklung sicherheitstechnischer Anlagen, gültige Richtlinien und organisatorische Abhängigkeiten bestimmen die Inhalte unserer Informationsveranstaltungen.

    Mehr Erfahren
    Copyright © 2026 Verband für Sicherheitstechnik e.V.
    All rights reserved.

    Nützliches

    Kontaktinformationen

    Impressum

    Datenschutz

    Kontakt

    Linkedin