KRITIS Zertifizierung Prüfstelle: Auswahl und Audit 2026
KRITIS Zertifizierung Prüfstelle auswählen: Akkreditierung, Kosten 35.000 bis 90.000 Euro, Auditzyklen und Mängelprävention nach §8a BSIG und Dachgesetz.
KRITIS Zertifizierung Prüfstelle: Auswahl, Audit und Nachweispflicht
Die Auswahl der prüfenden Stelle entscheidet über den Erfolg des Nachweisverfahrens. Ein ungeeigneter Auditor verlängert das Verfahren um Monate und erzeugt Mängelberichte, die der Vorstand schriftlich zur Kenntnis nehmen muss. Dieser Beitrag fasst die Anforderungen aus §8a BSIG, dem kommenden KRITIS-Dachgesetz und der Auditpraxis 2024 und 2025 zusammen. Adressat sind Sicherheitsleiter und Compliance-Verantwortliche, die im Zyklus 2026 erstmals oder erneut nachweispflichtig sind.
KRITIS Zertifizierung Prüfstelle: Rechtlicher Rahmen
§8a Abs. 3 BSIG verpflichtet Betreiber alle zwei Jahre zum Nachweis angemessener Vorkehrungen gegenüber dem BSI. Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen einer qualifizierten prüfenden Stelle. Die BSI-Kritisverordnung regelt Schwellenwerte und Nachweisform.
Das KRITIS-Dachgesetz erweitert ab 2026 die Nachweispflicht auf physische Resilienz, nicht nur IT. Die Bundestag-Drucksache 20/9262 führt den Allgefahrenansatz ein: Naturgefahren, technisches Versagen, hybride Bedrohungen und Sabotage werden gleichrangig betrachtet.
Prüfstellen müssen branchenspezifische Kompetenz nachweisen, etwa für Energie, Wasser, Gesundheit oder Transport. Die Akkreditierung erfolgt nicht durch das BSI selbst, sondern durch fachliche Eignungsprüfung über DAkkS oder branchenspezifische Verbände. Das BSI führt eine Liste anerkannter Stellen, die formale Eintragung ist jedoch keine Garantie für sektorale Eignung.
Konkreter nächster Schritt: KRITIS-Anforderungen im Überblick prüfen, bevor eine Prüfstelle angefragt wird.
Akkreditierungsanforderungen an prüfende Stellen
Auditoren benötigen mindestens drei Jahre Berufserfahrung im Bereich Informationssicherheit oder physischer Schutz. Nachweis über ISO 27001 Lead Auditor, BSI IT-Grundschutz-Berater oder gleichwertige Qualifikation ist Pflicht. Für das Dachgesetz-Auditing kommen Qualifikationen im physischen Schutz hinzu: Sicherheitsfachkraft, Werkschutzmeister oder Sachkundeprüfung §34a in Kombination mit dokumentierter Audit-Erfahrung.
Prüfstellen müssen Unabhängigkeit vom Betreiber dokumentieren. Keine Beratungsleistungen in den letzten 24 Monaten. Wer das ISMS aufgebaut hat, darf es nicht selbst prüfen. Diese Trennung wird in Auditberichten ausdrücklich abgefragt und vom BSI stichprobenhaft verifiziert.
Branchenspezifischer Sicherheitsstandard (B3S) muss vom Auditor beherrscht und in Prüfberichten referenziert werden. Für Energie gilt der BDEW-Whitepaper, für Krankenhäuser der B3S der Deutschen Krankenhausgesellschaft, für Wasser der DVGW-Standard. Ein Auditor ohne sektorale B3S-Erfahrung erzeugt formale Mängel im BSI-Verfahren.
Versicherungsnachweis über Vermögensschadenhaftpflicht ist Voraussetzung für die Anerkennung durch das BSI. Übliche Deckungssummen liegen bei 5 bis 10 Millionen Euro je Schadensfall.
Auswahlkriterien für Betreiber
Referenzliste in der eigenen KRITIS-Sektor prüfen. Mindestens fünf vergleichbare Audits in den letzten drei Jahren sollten dokumentiert sein. Wer als Wasserversorger einen Auditor mit ausschließlich Energie-Referenzen beauftragt, riskiert Diskussionen über Standardanwendung und sektorale Risiken.
Honorarspanne realistisch einordnen: 35.000 bis 90.000 Euro je Auditzyklus, abhängig von Anlagengröße. Der BDSW liefert Vergleichszahlen für angrenzende Sicherheitsdienstleistungen. Angebote unter 30.000 Euro für mittlere Anlagen deuten auf reduzierten Prüfumfang hin, der dem BSI später als unvollständig auffällt.
Auditdauer vor Ort: typisch 5 bis 12 Tage, längere Zyklen bei Multi-Standort-Betreibern. Klärung, ob die Prüfstelle physische Sicherheit und Perimeterschutz mitprüft oder nur IT-Komponenten. Diese Frage entscheidet, ob ein zweites Audit für die Dachgesetz-Anforderungen notwendig wird.
Vertragsklausel zur Nachreichungsfrist von Mängeln definieren. Üblich sind 90 Tage bis zur Re-Prüfung, mit Aufschlagshonorar von 15 bis 25 Prozent des Basisauditpreises.
Konkreter nächster Schritt: Dachgesetz-Checkliste mit 14-Wochen-Plan als Vorbereitungsgrundlage einsetzen.
Auditumfang: IT und physische Resilienz
Hier liegt der häufigste Irrtum in der Praxis. ISMS nach ISO 27001 oder B3S deckt nur die organisatorische und IT-bezogene Ebene ab. Wer mit einem ISO-27001-Zertifikat in das Dachgesetz-Verfahren geht, erfüllt den Nachweis nicht.
Physische Maßnahmen wie Perimeterschutz, Zutrittskontrolle und Detektionssysteme sind ab Dachgesetz prüfungsrelevant. Das BBK ist für die Identifikation und Registrierung kritischer Anlagen im physischen Bereich zuständig und definiert mit, welche Schutzklassen für welche Anlagentypen gelten.
Autonome Patrouille-Systeme werden im Audit als kompensierende Maßnahme zur 24/7-Bewachung anerkannt, wenn sie definierte Anforderungen erfüllen: lückenlose Streifenabdeckung, Sensorprotokollierung, Alarmweiterleitung an besetzte Leitstelle. Sie ersetzen kein ISMS und keine organisatorische Sicherheit. Sie schließen eine konkrete physische Lücke.
Dokumentationspflicht für jeden Sensorvorfall: Zeitstempel, Klassifikation, Eskalationspfad, Reaktionszeit. Auditoren verlangen Logs über mindestens 12 Monate, retentionsfähige Speicherung ist Voraussetzung. Systeme ohne forensisch nutzbare Logarchivierung erzeugen einen Mangel, unabhängig von ihrer technischen Leistungsfähigkeit.
Konkreter nächster Schritt: QR-3 mit LiDAR und Drohnendetektion im Vergleich zur stationären Bewachung bewerten.
Häufige Mängel in der Nachweisprüfung
Fehlende oder veraltete Risikoanalyse, insbesondere ohne Berücksichtigung hybrider Bedrohungen. Eine Risikoanalyse aus 2021, die Drohnen, Cyber-physische Angriffe und staatliche Akteure nicht adressiert, gilt 2026 als nicht aktuell.
Lücken im 24/7-Schutz: stationäre Bewachung mit Pausenfenstern wird als kritischer Befund gewertet. Wenn der Posten zwischen 02:00 und 02:30 Uhr nicht besetzt ist, weil der einzige Wachmann Pause macht, ist die Anforderung verletzt. Auditoren prüfen dies über Schichtpläne und Streifenprotokolle.
Unzureichende Drohnendetektion bei Betreibern mit luftgebundenen Bedrohungslagen. Energieanlagen, Wasserwerke und Verkehrsknoten ohne dokumentiertes Detektionskonzept erhalten Hinweise, in Einzelfällen Mängel.
Keine dokumentierte Reaktionszeit zwischen Detektion und Intervention. Sollwert unter 4 Minuten für die Erstreaktion. Wer Detektion ohne anschließende Interventionskette nachweist, hat formal eine Lücke.
Fehlende Übungsnachweise: Notfallpläne ohne jährliche Stabsrahmenübung werden als Mangel kategorisiert. Eine Übung pro Zwei-Jahres-Zyklus ist Minimum, jährlich ist Standard.
Zeitplan und Auditzyklen
Erstaudit innerhalb von 6 Monaten nach KRITIS-Einstufung durch das BBK. Wer im Januar 2026 als KRITIS-Anlage identifiziert wird, muss bis Juli 2026 den Erstnachweis erbringen.
Folgenachweise alle zwei Jahre, Dokumentationsfrist beim BSI maximal 4 Wochen nach Auditabschluss. Verspätete Einreichung erzeugt Verwaltungsverfahren, in der Regel mit Anhörung und Fristsetzung.
Zwischenprüfungen bei wesentlichen Änderungen der Anlage oder Bedrohungslage erforderlich. Beispiele: Erweiterung um eine neue Teilanlage, Wechsel des Sicherheitsdienstleisters, dokumentierter Sabotageversuch.
Reaktion auf Mängelfeststellung: Maßnahmenplan binnen 30 Tagen, Umsetzungsnachweis binnen 90 Tagen. Wer diese Fristen nicht hält, verliert die Wirkung des Audits.
Bußgeldrisiko bei verspätetem Nachweis: bis zu 20 Millionen Euro oder 2 Prozent Konzernumsatz unter NIS-2. Die NIS-2-Richtlinie sieht für wesentliche Einrichtungen Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor, deutsche Umsetzungsgesetze gehen in Teilen darüber hinaus.
Konkreter nächster Schritt: BBK-Registrierung Schritt für Schritt prüfen, bevor der Auditzyklus beginnt.
Kostenstruktur und TCO-Einordnung
Auditkosten liegen zwischen 35.000 und 90.000 Euro. Hinzu kommen interne Vorbereitungskosten von durchschnittlich 80 Personentagen, verteilt auf Sicherheitsleitung, IT, Werksschutz und Dokumentationsteam. Bei einem mittleren Stundensatz von 75 Euro entspricht das weiteren 48.000 Euro.
Mängelbeseitigung verursacht typischerweise 5- bis 10-fachen Aufwand der reinen Auditkosten. Ein Audit für 60.000 Euro, das fünf kritische Mängel feststellt, kann 300.000 bis 600.000 Euro Folgeinvestition auslösen. Diese Größenordnung ist im Capex-Budget einzuplanen.
Stationäre 24/7-Bewachung kostet 15.000 bis 25.000 Euro monatlich je Posten, oft drei bis fünf Posten je Standort. Jahreskosten für einen mittleren Standort: 540.000 bis 1.500.000 Euro.
Eine QR-3 Patrouille mit LiDAR und Drohnendetektion liegt bei 3.800 Euro monatlich und deckt KRITIS-Audit-Anforderungen auf der physischen Detektionsebene ab. Das ersetzt nicht den letzten besetzten Posten, der für die Intervention notwendig ist. Es ersetzt 24/7-Streifen und reduziert Personalbedarf bei gleichzeitiger Lückenschließung.
Hybridmodell aus reduzierter Bewachung plus Robotik senkt jährliche Schutzkosten typisch um 40 bis 60 Prozent. Voraussetzung: Die Auditfähigkeit des Robotiksystems ist vorab geklärt und dokumentiert.
Konkreter nächster Schritt: TCO-Vergleich Wachschutz und das Robotics-as-a-Service Modell gegeneinander rechnen.
Vorbereitung auf die Prüfung
14-Wochen-Vorbereitungsplan: Risikoanalyse aktualisieren, Maßnahmenkatalog konsolidieren, Dokumentation finalisieren, interne Vorab-Prüfung durchführen. Wer den Zeitraum unterschreitet, läuft Gefahr, im Hauptaudit vermeidbare Mängel zu produzieren.
Vorab-Audit durch unabhängigen Dritten reduziert Mängelquote im Hauptaudit um durchschnittlich 60 Prozent. Die Kosten liegen bei 8.000 bis 18.000 Euro und sind in nahezu allen Fällen wirtschaftlich, gemessen an den Folgekosten unentdeckter Mängel.
Vorstand muss Nachweisprüfung formal beauftragen und Audit-Ergebnis schriftlich zur Kenntnis nehmen. Die Vorstandshaftung unter NIS-2 verlagert die persönliche Verantwortung deutlich nach oben. Eine reine Delegation an die Sicherheitsleitung schützt die Geschäftsleitung nicht mehr.
Sicherheitsleiter koordiniert Schnittstelle zu IT, Werksschutz, Personalwesen und externer Prüfstelle. Eine zentrale Auditakte mit klarer Versionierung verhindert Widersprüche zwischen Abteilungsangaben.
Lieferkettenpartner mit Zugang zur kritischen Anlage werden in den Auditumfang einbezogen. Verträge mit Reinigungsdienstleistern, Wartungsfirmen und externen Sicherheitsdienstleistern vorab prüfen. Klauseln zu Zugangsregelung, Hintergrundprüfung und Meldepflichten müssen vorhanden sein.
Nächster Schritt
Die Auswahl der prüfenden Stelle ist eine strategische Entscheidung mit zweijährigem Echo. Wer Auditor, Auditumfang und kompensierende Maßnahmen vor dem Erstgespräch durchdacht hat, verkürzt das Verfahren um Wochen und vermeidet Folgekosten in sechsstelliger Höhe. Die operative Grundlage liefert die Übersicht der KRITIS-Anforderungen im Überblick. Sie führt durch Sektorzuordnung, Schwellenwerte und die Trennung zwischen IT-Nachweis und physischer Prüfung unter dem Dachgesetz.