Durch das IT-Sicherheitsgesetz, das BSI-Gesetz und die BSI-Verordnung werden zehn Sektoren der Kritischen Infrastrukturen – KRITIS – festgelegt und verpflichtet diese, Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen (§8a BSI-Gesetz – BSIG). Die beiden Sektoren Staat & Verwaltung und Medien & Kultur sind von der Regulierung ausgenommen.
Der Stand und die Wirksamkeit der Informationssicherheit von KRITIS-Betreibern muss mindestens alle zwei Jahre überprüft werden.
Das neue KRITIS-Dachgesetz sowie das NIS2-Umsetzungsgesetz verpflichtet nicht nur die Betreiber kritischer Infrastrukturen für physische Sicherheit, Cybersecurity und Resilienz zu sorgen. Es müssen Resilienzmaßnahmen umgesetzt werden, die den Stand der Technik entsprechen. Grundlage sind Risikobewertungen und alle vier Jahre durchzuführende Risikoanalysen.
Der Stand und die Wirksamkeit der umgesetzten Resilienzmaßnahmen sind nachprüfbar zu dokumentieren und fortzuschreiben.
Im weiterführenden KRITIS-Verständnis sind alle Unternehmen gefordert für die Sicherstellung der betrieblichen Kernprozesse für Produktion, Datenverarbeitung, Logistik etc. ein funktionierendes Sicherheitsmanagement aufzubauen und zu betreiben.