nt-voip
Gruppe_THINK-Network_weiss-1
nt-webmail

Freitag, 13:15 Uhr. Wir befinden uns in der Geschäftsstelle der Netzstrom AG. Dieses Mal liegt kein akuter Störfall vor, und doch steht ein wichtiges Thema auf der Agenda eines Management-Meetings. Der Geschäftsführer fragt in die Runde: „Sind wir wirklich bereit für die neuen KRITIS-Anforderungen?“

Neben den verschärften Meldepflichten, die wir im ersten Teil unserer KRITIS-Serie beleuchtet haben, spielt auch die präventive Vorbereitung auf den Ernstfall eine wichtige Rolle. Denn NIS-2, KRITIS-Dachgesetz und BSI-Vorgaben verlangen von Betreibern kritischer Infrastrukturen nicht nur korrektes Verhalten im Ernstfall, sondern nachweisbare Sicherheitsstrukturen – auch vor entsprechenden Sicherheitsvorfällen.

In diesem Blog-Artikel zeigen wir anhand des fiktiven Beispiels der Netzstrom AG, wie ein strukturiertes Informationssicherheits-Managementsystem (ISMS) zur zentralen Grundlage der KRITIS-Compliance werden kann.

Keyfacts: Vorbereitung auf KRITIS & NIS-2 auf einen Blick

  • Die neue KRITIS-Regulierung verlangt nicht nur Reaktion, sondern auch nachweisbare Prävention.
  • Ein ISMS, z.B. nach ISO-27001, ist kein Pflichtstandard, kann aber als Best Practice für KRITIS-Betreiber betrachtet werden.
  • Technische Schutzmaßnahmen müssen organisatorisch eingebettet sein.
  • Verfügbarkeit, Integrität und Vertraulichkeit sind gleichwertige Schutzziele.
  • Die frühzeitige Vorbereitung reduziert Haftungs-, Ausfall- und Reputationsrisiken erheblich.

KRITIS bedeutet mehr als Melden – es geht um strukturelle Resilienz

Der 6. Dezember 2025 ist für KRITIS-Betreiber kein gewöhnlicher Stichtag – er markiert eine Zäsur im Umgang mit Informationssicherheit. Denn mit der Umsetzung der europäischen NIS-2-Richtlinie verlagert sich der regulatorische Fokus: Weg von einzelnen Sicherheitsmaßnahmen, hin zu einer systematisch organisierten Informationssicherheit. KRITIS-Betreiber wie die Netzstrom AG sind ab sofort verpflichtet, Sicherheit ganzheitlich zu denken und verbindlich zu steuern.

Konkret bedeutet das für die Netzstrom AG:

  • Risiken müssen strukturiert identifiziert und bewertet
  • Schutzmaßnahmen müssen begründet, dokumentiert und überprüfbar
  • Zuständigkeiten müssen klar und formal geregelt
  • Sicherheitsmaßnahmen müssen im Alltag wirksam umgesetzt

Genau an dieser Stelle setzt ein Informationssicherheits-Managementsystem (ISMS) an – unabhängig davon, ob es formell nach ISO 27001 zertifiziert ist oder „ISO-ähnlich“ umgesetzt wird. Wie ein solches ISMS zur Grundlage für belastbare Resilienz wird und dabei die regulatorischen Pflichten erfüllt, zeigt das nachfolgende Praxisbeispiel.

Praxisbeispiel: Vorbereitung der Netzstrom AG auf die neue KRITIS-Verordnung

Die Ausgangslage: Die Netzstrom AG betreibt ein regionales Stromverteilnetz mit hoher Versorgungsrelevanz und beliefert täglich etwa 600.000 Haushalte und Unternehmen mit Strom. Die Geschäftsführung hat früh erkannt: Ein reines „Reagieren im Ernstfall“ reicht durch die gesetzlichen Vorgaben künftig nicht mehr aus. Stattdessen entscheidet die Geschäftsführung in enger Absprache mit dem IT-Team, die Organisation präventiv aufzustellen. Jetzt gilt es, klare Strukturen, technische Basisschutzmaßnahmen und definierte Prozesse zu entwickeln. Die Umsetzung erfolgt in fünf Schritten:

Schritt 1: Informationssicherheit strategisch verankern (ISMS) – Um die steigenden regulatorischen Anforderungen strukturiert zu erfüllen, etabliert die Netzstrom AG ein zentrales Informationssicherheits-Managementsystem (ISMS) nach ISO 27001-Logik. Das ISMS bildet den organisatorischen Rahmen für alle sicherheitsrelevanten Maßnahmen und Entscheidungen. Dazu gehören unter anderem:

  • die klare Definition der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit als verbindliche Leitplanken.
  • die Benennung eines Informationssicherheitsbeauftragten, der Verantwortung bündelt und als zentrale Schnittstelle fungiert.
  • der Aufbau eines strukturierten Risikomanagements, das Bedrohungen systematisch erfasst, bewertet und priorisiert.
  • eine dokumentierte Sicherheitsleitlinie für IT- und OT-Systeme, die Standards, Prozesse und Verantwortlichkeiten verbindlich festlegt.

Wichtig dabei ist: Das ISMS wird bei der Netzstrom AG nicht als „Papierprojekt“ verstanden, sondern als aktives Führungsinstrument, das Sicherheitsentscheidungen lenkt und die Organisation dauerhaft handlungsfähig hält.

Schritt 2: Standortvernetzung sicher gestalten – Ein zentrales KRITIS-Thema ist die Verfügbarkeit kritischer Kommunikationsverbindungen, um den Betrieb des Stromnetzes auch bei Ausfällen oder Angriffen aufrecht zu erhalten. Die Netzstrom AG stellt die Vernetzung ihrer verschiedenen Standorte daher so auf, dass Ausfälle einzelner Leitungen den Betrieb nicht gefährden können. Redundante Anbindungen sichern dabei die Steuerungsfähigkeit auch in Störsituationen, während produktive Netze strikt von administrativen IT-Strukturen getrennt werden. So werden Risiken gezielt isoliert.

Schritt 3: Schutz vor externen Angriffen – Die Netzstrom AG weiß auch: KRITIS-Betreiber geraten zunehmend in das Visier unterschiedlicher Bedrohungsszenarien. Dazu zählen klassische DDoS-Attacken und hybride Angriffe, bei denen Cyber-Attacken und physische Störmaßnahmen kombiniert werden. Ziel ist dabei häufig die kurzfristige Beeinträchtigung von Verfügbarkeit und Vertrauen in der KRITIS. Vor diesem Hintergrund setzt die Netzstrom AG auf ein abgestimmtes Schutzkonzept:

  • vorgelagerte DDoS-Schutzmechanismen
  • klare Eskalationsprozesse bei Angriffen
  • Monitoring für ungewöhnliches Netzwerkverhalten

Der Geschäftsführer der Netzstrom AG macht dabei klar: Entscheidend ist nicht allein die eingesetzte Technik, sondern die klare Einbettung der Schutzmaßnahmen in das ISMS.

Schritt 4: Einheitliche Sicherheitsarchitektur im LAN & WAN – Um Sicherheitslücken zwischen Standorten zu vermeiden, setzt die Netzstrom AG auf eine konsistente Sicherheitsarchitektur. Hierzu zählen unter anderem die Segmentierung interner Netze, zentrale Firewall- und Policy-Strukturen und einheitliche Sicherheitsstandards über alle Standorte hinweg. Dabei implementiert die Netzstrom AG Fortinet-basierte Sicherheitslösungen als Managed Services, die von einem erfahrenen ITK-Dienstleister bereitgestellt werden. Der Vorteil: Sicherheitsregeln, Updates und Monitoring folgen einem definierten Standard und erweisen sich im Prozess revisionssicher dokumentiert und nachvollziehbar.

Schritt 5: Dokumentation, Tests und kontinuierliche Verbesserung – Ein oft unterschätzter Punkt der KRITIS-Vorbereitung ist die Nachweisfähigkeit. Die Netzstrom AG sorgt daher für…

  • … vollständige Dokumentation aller Sicherheitsmaßnahmen,
  • … regelmäßige Tests von Notfall- und Wiederanlaufprozessen,
  • … interne Audits und Management-Reviews,
  • … und klare Lessons Learned nach Übungen oder Vorfällen.

Damit erfüllt die Netzstrom AG genau das, was Aufsichtsbehörden künftig einfordern: eine belastbare, überprüfbare Sicherheitsarchitektur, die Resilienz im Alltag beweist – und nicht erst im Prüfbericht.

Fazit

Der fiktive Fall der Netzstrom AG zeigt deutlich, worum es bei der neuen KRITIS-Regulierung im Kern geht: Sicherheit beginnt lange vor dem Ernstfall. Mit NIS-2, KRITIS-Dachgesetz und den erweiterten BSI-Vorgaben reicht es nicht mehr aus, lediglich auf Störungen zu reagieren oder einzelne technische Maßnahmen vorzuhalten. Gefordert ist eine ganzheitliche, nachvollziehbare und dauerhaft wirksame Sicherheitsorganisation.

Ein strukturiertes Informationssicherheits-Managementsystem bildet dabei das Fundament. Es verknüpft Risiken, technische Schutzmaßnahmen, klare Zuständigkeiten und überprüfbare Prozesse zu einem belastbaren Gesamtkonzept. Entscheidend ist nicht, ob ein ISMS formal zertifiziert ist, sondern dass Informationssicherheit systematisch gesteuert, im Alltag gelebt und kontinuierlich weiterentwickelt wird.

KRITIS-Readiness ganzheitlich denken – mit Erfahrung und Augenmaß

Unternehmen, die sich frühzeitig vorbereiten, gewinnen dabei mehr als nur regulatorische Sicherheit. Sie schaffen Transparenz, erhöhen ihre operative Resilienz und sichern ihre Handlungsfähigkeit auch unter Druck. Als ISO 27001-zertifizierter ITK-Dienstleister begleiten wir bei NETHINKS Betreiber kritischer Infrastrukturen bei genau dieser präventiven Vorbereitung: vom Aufbau eines ISMS über die sichere Vernetzung und den DDoS-Schutz bis hin zu gemanagten Sicherheitslösungen in LAN und WAN.

Sie möchten wissen, wie gut Ihr Unternehmen bereits auf die neuen KRITIS-Anforderungen vorbereitet ist? Unsere NETHINKS-Experten unterstützen Sie gerne dabei, Ihre bestehende Sicherheitsorganisation einzuordnen, Lücken zu identifizieren und einen realistischen Fahrplan zur KRITIS-Readiness zu entwickeln.

FAQ: Vorbereitung auf KRITIS & ISMS

  1. Ist ein ISMS nach ISO 27001 für KRITIS-Betreiber verpflichtend?
    Nein, aber es gilt als Best Practice. Viele Anforderungen lassen sich ohne ISMS kaum strukturiert erfüllen oder nachweisen.
  2. Reichen technische Sicherheitslösungen allein aus?
    Nein. Ohne klare Prozesse, Zuständigkeiten und Dokumentation erfüllen technische Maßnahmen die KRITIS-Anforderungen nicht vollständig.
  3. Wann sollten Unternehmen mit der Vorbereitung beginnen?
    Am besten sofort. NIS-2 und KRITIS-Dachgesetz verschärfen die Anforderungen deutlich und organisatorische Reife lässt sich nicht kurzfristig „einkaufen“.

So erreichen Sie uns auch gerne direkt:

0661 – 25 00 00
vertrieb@nethinks.com
linkedin.com/nethinks

Noch Fragen zu den Themen Network oder VoIP?

NT/DSL

Schnelles DSL für Ihr Unternehmen

mehr infos

NT/Voice

Maßgeschneiderte Telefonie-Lösungen

mehr infos

NT/
CONNECT

Die Lösung für alle Anforderungen

mehr infos

TK-Anlage/
Asterisk

Moderne Telefonie auf Open-Source-Basis

mehr infos
EU Efre Dekra

NETHINKS Newsletter