Cybersicherheit ist für KRITIS-Betreiber längst kein reines IT-Thema mehr. Mit NIS2 steigen Verantwortung, Prüfungen und Sanktionen spürbar – und damit auch der Druck, Sicherheitsmaßnahmen nicht nur umzusetzen, sondern belastbar nachzuweisen. Gleichzeitig gehen viele SAP-Landschaften Richtung Cloud- oder Hybridbetrieb. Das bringt Chancen, aber auch eine neue Realität für Identitäten, Rollen und Zugriffssteuerung. Genau da landet man ziemlich schnell bei bei der Frage: Haben wir das wirklich im Griff?

In dieser Artikelreihe zeige Leonard, was die regulatorischen Anforderungen für KRITIS Betreiber besonders im Bereich Identity- und Accessmanagement (IAM) bedeuten und wie man das in hybriden oder SAP-Cloud Landschaften technisch umsetzen kann.

KRITIS, NIS2 und BSIG im Überblick

Die Vielzahl an Begriffen und gesetzlichen Vorgaben rund um KRITIS, NIS2 und das BSIG kann schnell unübersichtlich wirken. Der folgende Abschnitt soll zunächst eine kompakte Orientierung und einen grundlegenden Überblick schaffen:

• KRITIS (Begriffsdefinition, Deutschland): Zu den kritischen Infrastrukturen (kurz KRITIS) zählen Organisationen und Einrichtungen in Sektoren wie Energie, Wasser, Gesundheit, Finanzwesen, Transport und Kommunikation, deren Ausfall massive gesellschaftliche Auswirkungen hätte. Auch öffentliche Einrichtungen zählen zu den kritischen Infrastrukturen, da ihre Dienste direkt für die Versorgung und Sicherheit der Bevölkerung essenziell sind.
• NIS2 (Richtlinie, EU): NIS2 ist ein einheitlicher Rechtsrahmen für die Aufrechterhaltung von Cybersicherheit in 18 kritischen Sektoren der europäischen Union. Dazu gehören verbindliche Sicherheits- und Meldepflichten, Risikomanagement sowie technische und organisatorische Sicherheitsmaßnahmen – Ziel ist der Schutz von Netzwerk- und Informationssystemen (kurz NIS) und die Verbesserung von Cybersicherheitskapazitäten.
• BSIG (IT-Gesetz, Deutschland): Das BSI-Gesetz ist das zentrale Gesetz zur Regulierung von Cybersicherheit in Deutschland. Mit der Einführung von NIS2 wurde das Gesetz im Dezember 2025 angepasst, um die Anforderungen der EU-Richtlinie in Deutschland umzusetzen. Das BSIG formuliert Vorgaben zu Sicherheitsmaßnahmen, Notfall- und Risikomanagement, Audit- und Nachweisführung für deutsche KRITIS-Betreiber und Bundeseinrichtungen.

KRITIS umfasst in Deutschland kritische Organisationen und öffentliche Einrichtungen, deren Ausfall massive gesellschaftliche Folgen hätten, und deren Cybersicherheit durch die EU-Richtlinie NIS2 und dem angepassten BSIG mit Sicherheits-, Risiko- und Auditpflichten geregelt wird.

Allgemeine Pflichten für KRITIS-Betreiber (nach BSIG)

KRITIS-Betreiber unterliegen nach dem BSIG einer Reihe von allgemeinen Pflichten, die die Sicherheit, Verfügbarkeit und Nachweisführung kritischer Infrastrukturen gewährleisten sollen. Dazu gehört:

• Errichtung einer Kontaktstelle für betriebene kritische Infrastruktur
• IT-Störung oder erhebliche Beeinträchtigungen melden
• IT-Sicherheit nach „Stand der Technik“ umsetzen
• Nachweis der IT-Sicherheit gegenüber BSI (3-jährig)

KRITIS-Betreiber müssen demnach eine Kontaktstelle einrichten, IT-Störungen melden, die IT-Sicherheit nach Stand der Technik umsetzen und diese alle zwei Jahre gegenüber dem BSI nachweisen. Unterm Strich heißt das: Wenn ihr als KRITIS-Betreiber eingestuft seid, geht es nicht nur um „Sicherheit umsetzen“, sondern um „Sicherheit nachweisbar umsetzen“.

Die Anforderungen des BSI – IAM als Kern der IT-Sicherheit

Die Orientierungshilfe des BSI konkretisiert die Anforderungen an KRITIS-Betreiber hinsichtlich Ihrer Informationssicherheit und dient als Grundlage zum Nachweis von IT-Sicherheitsmaßnahmen in Hinblick auf das BSI-Gesetz. Ein zentraler Baustein ist dabei Identity & Access Management (IAM), da die Kontrolle über Benutzerzugriffe und Rollen entscheidend für die Sicherheit kritischer Systeme ist. Die wichtigsten Punkte des Katalogs umfassen:

• Rollenzuweisungen und Funktionstrennung
• Benutzerregistrierung
• Zugriffsberechtigungen
• Regelmäßige Überprüfungen
• Administrative und Notfallzugänge
• Sichere Authentifizierung
• Systemseitige Zugriffskontrolle und Monitoring

Kurz gesagt, die Orientierungshilfe des BSI fordert, dass Rollen und Zugriffe klar definiert, überwacht, überprüft und regelmäßig angepasst werden, administrative Zugänge streng kontrolliert sind und jede kritische Aktion nachvollziehbar dokumentiert wird – zentrale Elemente eines sicheren IAM.

Das klingt erstmal nach „klar, machen wir“. In der Realität stolpert man aber oft an denselben Stellen: historisch gewachsene Rollen, Sonderfälle für Projekte, Dienstleisterzugriffe, Firefighter-User, technische Konten ohne saubere Verantwortungen – und Prüfungen, die zwar im Prozess stehen, aber operativ untergehen.

IAM als Türöffner für KRITIS: Jetzt handeln!

NIS2 und das angepasste BSIG machen deutlich: Geschäftsleitungen haften, Prüfungen werden verbindlich, Bußgelder sind real. In Cloud- und hybriden Landschaften steigt die Komplexität, klassische Zugriffskontrollen reichen nicht mehr aus. Identity & Access Management wird zum zentralen Hebel, denn das BSI fordert klar definierte Rollen, Funktionstrennung, Benutzerregistrierung, kontrollierte Berechtigungen, sichere Authentifizierung und revisionssichere Protokollierung. Identity & Access Management bildet dabei das Rückgrat einer robusten Sicherheitsarchitektur – wer IAM frühzeitig strukturiert, schafft Transparenz, erfüllt Compliance-Anforderungen effizient und minimiert Sicherheitsrisiken.

Im nächsten Artikel der Reihe gehe ich in die Tiefe: Welche konkreten IAM-Anforderungen im Detail dahinterstehen (IDM-01 bis IDM-13) – und wie man sie praxisnah in SAP-Cloud- oder hybriden SAP-Landschaften umsetzt, ohne sich ein unnötig komplexes Konstrukt zu bauen.

Über den Autor

Leonard Nordheim ist SAP Consultant bei OREXES und spezialisiert auf Identity & Access Management (IAM) sowie Lösungs- und Sicherheitsarchitekturen in SAP-Cloud- und BTP-Umgebungen. Sein Schwerpunkt liegt auf der Konzeption und Umsetzung technisch robuster Identitäts- und Zugriffsarchitekturen sowie der Integration sicherer Lösungen in komplexe hybride Systemlandschaften.