News – Was ist neu und relevant?
Neues BSI-Gesetz: Laut BSI ist das neue BSI-Gesetz am 06.12.2025 in Kraft getreten; die BSI-Webseiten werden aktuell auf die neue Gesetzesgrundlage angepasst. Betreiber Kritischer Anlagen (KRITIS) sind eine Teilmenge der „besonders wichtigen Einrichtungen“. – Definition und Sektoren: KRITIS sind Einrichtungen, deren Ausfall nachhaltige Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen verursachen würde. KRITIS-Sektoren: Energie; Informationstechnik und Telekommunikation; Transport und Verkehr; Gesundheit; Medien und Kultur; Wasser; Ernährung; Finanz- und Versicherungswesen; Siedlungsabfallentsorgung; Staat und Verwaltung. – Rechtsrahmen und Schwellen: Welche Einrichtungen als KRITIS im Sinne des
BSIG gelten, konkretisiert die BSI-Kritisverordnung über kritische Dienstleistungen und Schwellenwerte. Werden Schwellenwerte erreicht/überschritten, gelten Melde- und Nachweispflichten des BSIG. Die durch das BSIG regulierten KRITIS-Sektoren (z. B. Energie, IuK, Transport, Gesundheit, Wasser, Ernährung, Finanz/Versicherung, Siedlungsabfall) werden durch Rechtsverordnung nach § 10 Abs. 1 BSIG (BSI-KritisV) näher bestimmt; die Sektoren Staat/Verwaltung sowie Medien/Kultur unterliegen nicht der BSIG-Regulierung 1. – Orientierung und Unterstützung: Das BSI verweist auf „Stand der Technik umsetzen“, „KRITIS-Nachweise“, „Tiefenprüfungen“, „Kontaktstelle benennen“ und „IT-Störungen melden“ als zentrale Informations- und Pfadseiten für betroffene Einrichtungen. Teilnahme am UP KRITIS wird empfohlen, auch wenn Schwellenwerte unterschritten werden.
Auswirkungen auf Vergabeunterlagen in KRITIS-Kontexten
A. Leistungsbeschreibung
– Stand der Technik: Anforderungen zur Umsetzung des Stands der Technik explizit beschreiben (technisch-organisatorische Maßnahmen, Schnittstellen, Nachweisformate). Bezug auf die entsprechende Pflicht-/Hinweisseite „Stand der Technik umsetzen“ herstellen 1. – Melde- und Reaktionsprozesse: Prozesse für „IT-Störungen melden“ (z. B. Meldekaskaden, Fristen, Formate, 24/7-Erreichbarkeit) und Eskalationswege festlegen 1. – Rollen und Zuständigkeiten: Benennung einer „Kontaktstelle“ bzw. eines Single Point of Contact mit Verfügbarkeitsfenstern und Vertretungsregelungen verlangen 1. – Nachweise und Audits: Lieferantenseitige Mitwirkung an „KRITIS-Nachweisen“ und „Tiefenprüfungen“ (inkl. Auditfähigkeit, Dokumentationspflichten, Onsite-Termine, Datenzugriff) als Leistungspflicht beschreiben 1. – Sektorspezifika: Sektor- und anlagenspezifische Besonderheiten (z. B. Energie, IuK, Wasser, Gesundheit) und ggf. BSIG/BSI-KritisV-Schwellenbezug in der Aufgabenbeschreibung berücksichtigen 1.
B. Wertung der Referenzen
– KRITIS-Relevanz: Referenzen sollten Erfahrungen in KRITIS-Sektoren und mit BSIG-/BSI-KritisV-bezogenen Pflichten abbilden (z. B. gelebte Stand-der-Technik-Umsetzung, erfolgreiche Nachweise, bestandene Tiefenprüfungen) und entsprechend gewichtet werden. – Nachweisqualität: Bewertungsmaßstäbe (Aktualität, Umfang, Sektorfit, Nachweis- und Auditmitwirkung) transparent definieren, um die gesetzlichen Pflichten der Betreiber realistisch zu stützen. – Reaktions- und Meldekompetenz: Referenzbewertung sollte nachweisbare Routine in Meldewegen („IT-Störungen melden“) und in der Zusammenarbeit mit Kontaktstellen/Aufsicht berücksichtigen.
C. Vertragsgestaltung – Compliance-Klauseln:
Vertragliche Verpflichtung zur Unterstützung bei „KRITIS-Nachweisen“, Duldung/Unterstützung von „Tiefenprüfungen“, Einhaltung des „Standes der Technik“ inklusive Aktualisierungspflichten und Change-Management verankern. – Melde- und Kommunikationspflichten: Detaillierte Meldepflichten, Schnittstellen zur Betreiber-Kontaktstelle sowie Erreichbarkeits- und Reaktionszeiten festschreiben; klare Verantwortlichkeiten und Eskalationsstufen definieren. – Audit- und Informationsrechte: Rechte zur Einsichtnahme, Vor-Ort-Prüfung, Protokoll- und Nachweisbereitstellung sowie Mitwirkungspflichten bei Aufsichtsmaßnahmen regeln. – Schwellen-/Sektorbezug: Klarstellen, ob die Anlage/Einrichtung nach BSI-KritisV im Sinne des BSIG als KRITIS gilt und damit Melde- und Nachweispflichten zwingend auslösen; andernfalls optionale KRITIS-konforme Standards marktüblich vereinbaren.
Praxishinweise
– Prüfen Sie vor Vergabestart, ob und welche BSI-KritisV-Schwellenwerte relevant sind und welche Pflichten daraus folgen; ordnen Sie die Leistung dem korrekten KRITIS-Sektor zu.
– Spiegeln Sie KRITIS-Pflichten konsequent in Leistungsbeschreibung, Eignungs-/Wertungslogik und Vertragsklauseln (Stand der Technik, Nachweise, Tiefenprüfungen, Kontaktstelle, IT-Störungsmeldungen). – Berücksichtigen Sie, dass die Sektoren Staat/Verwaltung sowie Medien/Kultur nicht der BSIG-Regulierung unterliegen – gleichwohl können erhöhte Sicherheits- und Nachweisanforderungen sachgerecht sein 1. – Ziehen Sie eine Teilnahme am UP KRITIS in Betracht, auch wenn Schwellenwerte unterschritten sind; dies kann Best Practices und Kooperation fördern.
Kurzfazit
KRITIS-Vergaben sollten die BSI-beschriebenen Pflichten adressieren: Stand der Technik, Melde- und Nachweispflichten, Tiefenprüfungen, Kontaktstellen und sektorspezifische Anforderungen. Rechtsgrundlagen (BSIG, BSI-KritisV) bestimmen, ob und ab wann Melde-/Nachweispflichten zwingend greifen; die Vertrags- und Vergabeunterlagen müssen dies widerspruchsfrei abbilden und auditfest machen
Besuchen Sie bei Interesse unser Spezialseminar zu kritischen Infrastrukturen
