Cloud-abhängige Software und Dienstleistungen im KRITIS-Umfeld

Betreiber Kritischer Infrastrukturen dürfen cloud-abhängige Software und cloud-basierte Dienstleistungen einsetzen – vorausgesetzt, die sichere Erbringung der kritischen Dienstleistung bleibt jederzeit gewährleistet. Dabei kommt es nicht darauf an, wie innovativ ein Ansatz ist, welches Betriebsmodell gewählt wird oder wo einzelne Komponenten betrieben werden. Entscheidend ist vielmehr, dass der Betreiber jederzeit die Verantwortung übernimmt, Systeme steuert und die Einhaltung der Anforderungen nachweist.

Diese Fähigkeit entsteht aus dem Zusammenspiel mehrerer regulatorischer und normativer Rahmenwerke. Sie definieren gemeinsam die Anforderungen an Betriebssicherheit, Governance, Resilienz und Haftung. Eine einzelne Norm oder ein Zertifikat kann diese Erwartungen nicht vollständig abdecken. Das Bundesamt für Sicherheit in der Informationstechnik koordiniert diesen Rahmen fachlich. Cloud-abhängige Leistungen werden dabei nicht als isolierte Produkte betrachtet, sondern als funktionale Bestandteile der kritischen Leistungserbringung.

Regulatorischer und normativer Bezugsrahmen

Das BSI-Gesetz bildet die zentrale rechtliche Grundlage für die Pflichten von Betreibern Kritischer Infrastrukturen. Es verpflichtet sie, angemessene technische und organisatorische Maßnahmen zu treffen, um Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme sicherzustellen. Zudem müssen Betreiber die Wirksamkeit dieser Maßnahmen nachweisen.

Diese Verpflichtung umfasst alle informationstechnischen Komponenten, die funktional zur Erbringung der kritischen Dienstleistung beitragen – ausdrücklich auch cloud-abhängige Software und Dienstleistungen. Die Verantwortung für Auswahl, Einsatz, Steuerung und Nachweis verbleibt vollständig beim Betreiber, unabhängig davon, ob Leistungen intern erbracht oder an Dritte ausgelagert werden. Die Betreiberverantwortung kann nicht verlagert werden. Sie bildet die verbindliche Grundlage für alle weiteren regulatorischen Anforderungen.

Die Empfehlungen der UP KRITIS konkretisieren diese gesetzlichen Pflichten für die praktische Umsetzung. Sie behandeln cloud-basierte Software und Dienstleistungen ausdrücklich und ordnen sie der kritischen Leistungskette zu. Entscheidend ist nicht, wie eine Leistung technisch oder organisatorisch eingeordnet wird, sondern welche funktionale Bedeutung sie für die Aufrechterhaltung der kritischen Dienstleistung hat. Betreiber müssen Cloud-Leistungen daher als integralen Bestandteil der Gesamtleistung betrachten. Ihr Ausfall oder ihre Beeinträchtigung kann unmittelbare Auswirkungen auf die Versorgungssicherheit haben.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik liefert die methodische Grundlage für die strukturierte Modellierung von Informationsverbünden, die Feststellung des Schutzbedarfs sowie die Ableitung geeigneter Sicherheitsmaßnahmen. Betreiber müssen cloud-abhängige Software und Dienstleistungen so beschreiben, abgrenzen und dokumentieren, dass sie eindeutig einem Informationsverbund zugeordnet und risikobasiert bewertet werden können. Ohne diese strukturelle Einordnung lässt sich weder eine belastbare Sicherheitskonzeption entwickeln noch eine prüf- und auditierbare Nachweisführung realisieren.

Mit der NIS2-Richtlinie erweitert sich der Anwendungsbereich über den klassischen KRITIS-Begriff hinaus auf wesentliche und wichtige Einrichtungen. Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Bis Februar 2026 sind rund 29.500 Unternehmen und Institutionen in Deutschland von den neuen Pflichten betroffen. Die Anforderungen an Risikomanagement, Lieferkettenkontrolle, Meldepflichten und die persönliche Verantwortung der Leitungsebene haben sich deutlich verschärft.

Besonders wichtige Einrichtungen – wozu Betreiber Kritischer Infrastrukturen automatisch zählen – müssen sich bis spätestens 6. März 2026 im BSI-Portal registrieren, das seit dem 6. Januar 2026 freigeschaltet ist. Meldepflichten für Sicherheitsvorfälle gelten unmittelbar und ohne Übergangsfrist. Cloud-abhängige Software und Dienstleistungen werden ausdrücklich in die Bewertung von Abhängigkeiten und Lieferketten einbezogen. Anbieter selbst sind zwar keine unmittelbaren Normadressaten. Ihre Leistungen werden jedoch mittelbar prüf- und haftungsrelevant, da sie in die Risikobewertung und die Wirksamkeitsnachweise der Betreiber einfließen. Die Nichteinhaltung der NIS2-Vorgaben kann zu erheblichen Sanktionen führen.

Die NIS2-Richtlinie erfasst neben den klassischen KRITIS-Sektoren auch Bereiche wie verarbeitendes Gewerbe und Fertigung, Lebensmittelproduktion und -vertrieb, digitale Anbieter, Raumfahrt sowie weitere Dienstleistungssektoren. Diese Erweiterung erhöht die Zahl der betroffenen Einrichtungen erheblich und macht regulatorische Steuerungsfähigkeit zu einem zentralen Wettbewerbsfaktor.

Ergänzend greift die Datenschutz-Grundverordnung immer dann, wenn cloud-abhängige Software oder Dienstleistungen personenbezogene Daten verarbeiten. Eine rechtskonforme Nutzung setzt voraus, dass Rollenverteilungen, Datenarten, Verarbeitungszwecke, Speicherorte, Zugriffsmodelle und Weitergaben klar, konsistent und nachvollziehbar beschrieben sind. Unklare oder nicht dokumentierte Datenflüsse verhindern eine regelkonforme Nutzung.

Internationale Normen dienen ergänzend als strukturierende Reifegrad- und Referenzrahmen. Dazu zählen insbesondere ISO/IEC 27001 und ISO/IEC 27002 für das Informationssicherheitsmanagement, die cloud-spezifischen Erweiterungen ISO/IEC 27017 und ISO/IEC 27018, ISO/IEC 27701 für Datenschutzmanagement sowie ISO/IEC 42001 für KI-bezogene Managementsysteme. Diese Normen ersetzen keine gesetzlichen Betreiberpflichten. Sie unterstützen jedoch eine systematische, nachvollziehbare und auditierbare Umsetzung regulatorischer Anforderungen.

Der BSI-C5-Katalog fungiert als Transparenz- und Kriterienrahmen für Sicherheitsmaßnahmen von Cloud-Anbietern. Er stellt weder eine Einsatzfreigabe noch ein Gütesiegel dar, sondern eine strukturierte Evidenzquelle. Die derzeit gültige Version ist C5:2020. Der finale Release der überarbeiteten Version C5:2025 wird für das erste Quartal 2026 erwartet, mit Pflichtanwendung ab 2027. Die neue Version setzt erweiterte Schwerpunkte, insbesondere bei Supply-Chain-Risiken, Post-Quantum-Kryptographie, Container-Management und Confidential Computing. Sie zielt zudem auf eine stärkere Alignment mit dem European Union Cybersecurity Certification Scheme (EUCS) ab. Cloud-Anbieter sollten sich auf diese Anpassungen vorbereiten. C5-Nachweise sind nur dann relevant, wenn ihr Geltungsbereich, ihr Scope und ihre Prüftiefe zur konkret genutzten Software oder Dienstleistung passen und sich sinnvoll in die Nachweisführung des Betreibers integrieren lassen.

Cloud Compliance als verbindendes Steuerungsprinzip

In der praktischen Umsetzung zeigt sich: Die isolierte Betrachtung einzelner Gesetze, Normen oder Richtlinien reicht nicht aus, um cloud-abhängige Software und Dienstleistungen dauerhaft regelkonform zu betreiben. An dieser Stelle greift das Konzept der Cloud Compliance.

Cloud Compliance beschreibt keinen eigenständigen Rechtsrahmen, sondern einen übergreifenden Steuerungsansatz. Das Ziel: Alle relevanten gesetzlichen, regulatorischen und organisatorischen Anforderungen im Cloud-Kontext konsistent umsetzen und dauerhaft einhalten.

Im KRITIS-Umfeld bezeichnet Cloud Compliance die Fähigkeit des Betreibers, seine Cloud-Nutzung so zu gestalten, dass er Anforderungen aus BSIG, IT-Grundschutz, NIS2, DSGVO, sektoraler Regulierung sowie internen Richtlinien gleichzeitig, nachvollziehbar und dauerhaft erfüllt. Entscheidend ist nicht das Vorhandensein einzelner Zertifikate oder Testate. Maßgeblich ist vielmehr ein kontinuierlicher, überprüfbarer Compliance-Management-Ansatz, der technische Architektur, betriebliche Prozesse, klar zugewiesene Verantwortlichkeiten und wirksame Kontrollmechanismen miteinander verbindet.

Cloud Compliance ist damit kein zusätzliches Themenfeld neben Informationssicherheit oder Datenschutz. Sie ist ein integraler Bestandteil der Betreiberverantwortung. Da diese Verantwortung nicht ausgelagert werden kann, muss der Betreiber jederzeit nachweisen können, dass er cloud-abhängige Leistungen transparent steuert, risikobasiert bewertet und wirksam kontrolliert. Mit der vollständigen Umsetzung von NIS2 und der damit einhergehenden persönlichen Haftung der Leitungsebene gewinnt dieser Ansatz zusätzlich an Bedeutung.

Nutzen für Betreiber Kritischer Infrastrukturen

Für Betreiber Kritischer Infrastrukturen schafft Cloud Compliance vor allem Planungs- und Entscheidungssicherheit. Cloud-abhängige Software, Dienstleistungen und Systeme zur Angriffserkennung lassen sich anhand eines einheitlichen und konsistenten Bewertungsrahmens systematisch einordnen und miteinander vergleichen. Dies erleichtert die strukturierte und belastbare Nachweisführung gegenüber Aufsichtsbehörden, Prüfern und internen Kontrollinstanzen.

Gleichzeitig reduziert ein Cloud-Compliance-basierter Ansatz operative Risiken. Abhängigkeiten, Datenflüsse, Verantwortlichkeiten und Schnittstellen werden frühzeitig transparent gemacht und risikobasiert bewertet. Cloud-Nutzung wird dadurch steuerbar und überprüfbar – anstatt implizite Risiken unbemerkt in die kritische Leistungserbringung zu verlagern.

Praxisbeispiel Energiesektor: Ein Energieversorger setzt ein cloud-basiertes SIEM-System zur Überwachung seiner Netzleitstellen ein. Die Cloud-Compliance-Bewertung identifiziert die Abhängigkeit von der Cloud-Anbindung als kritisch für die Angriffserkennung. Der Betreiber implementiert daraufhin redundante Kommunikationspfade, lokale Zwischenspeicherung sicherheitsrelevanter Ereignisse und definiert klare Eskalationsprozesse bei Cloud-Ausfall. Diese Maßnahmen werden dokumentiert und in die NIS2-Nachweisführung integriert.

Nutzen für Anbieter cloud-abhängiger Lösungen

Für Anbieter cloud-abhängiger Software und Dienstleistungen bedeutet Cloud-Compliance-Fähigkeit vor allem eines: Marktzugang in regulierten Umfeldern. Nur Lösungen, die sich strukturiert in bestehende Compliance-Modelle von Betreibern integrieren lassen, sind im KRITIS- und NIS2-Kontext überhaupt bewertbar – und damit beschaffungs- und investitionsfähig.

Ein entsprechendes Produkt-, Architektur- und Dokumentationsdesign verkürzt Prüf- und Beschaffungsprozesse deutlich. Zentrale Fragen zu Datenverarbeitung, Abhängigkeiten, Verantwortlichkeiten und Betriebsmodellen lassen sich bereits im Vorfeld belastbar beantworten. Gleichzeitig sinkt das Risiko, in späteren Prüf-, Audit- oder Genehmigungsverfahren an grundlegenden Ausschlusskriterien zu scheitern.

Praxisbeispiel Fertigungsindustrie: Ein israelisches Startup entwickelt eine KI-gestützte Anomalie-Erkennungslösung für Produktionsanlagen. Durch frühzeitige Berücksichtigung von NIS2-Anforderungen dokumentiert das Startup transparent die Datenflüsse, nutzt europäische Cloud-Rechenzentren und implementiert klare Rollenmodelle. Dies ermöglicht einem deutschen Automobilzulieferer – als neu unter NIS2 fallende wichtige Einrichtung – eine beschleunigte Bewertung und Integration der Lösung in seine Sicherheitsarchitektur.

Cloudfähig, cloudabhängig und hybride Architekturen

Als cloudfähig gelten Software oder Dienstleistungen, deren Architektur einen Betrieb in Cloud-Umgebungen ermöglicht oder sich um cloud-basierte Komponenten ergänzen lässt – ohne dass die Kernfunktionalität zwingend an externe Cloud-Infrastrukturen gebunden ist. Wesentliche Funktionen können in diesem Modell auch ohne dauerhafte Cloud-Anbindung betrieben werden.

Cloudabhängig sind demgegenüber Leistungen, deren zentrale Funktionen ausschließlich bei bestehender Anbindung an externe Cloud-Dienste erbracht werden können. In solchen Architekturen sind Verfügbarkeit, Funktionsfähigkeit oder Steuerbarkeit der Leistung unmittelbar an externe Cloud-Infrastrukturen gekoppelt.

Zwischen diesen Ausprägungen haben sich hybride und edge-nahe Architekturen etabliert. Dabei verbleiben zentrale Funktionen – insbesondere solche mit hoher Kritikalität, geringer Latenztoleranz oder erhöhtem Schutzbedarf – lokal oder nahe am Entstehungsort der Daten. Cloud-Dienste werden ergänzend eingesetzt, etwa für übergreifende Analyse, Korrelation, Skalierung oder zentrale Steuerungsfunktionen. Solche Modelle sind im KRITIS-Umfeld weit verbreitet, da sie technische Leistungsfähigkeit mit Anforderungen an Resilienz, Verfügbarkeit und regulatorische Steuerbarkeit verbinden.

Praxisbeispiel Wasserversorgung: Ein Wasserversorger nutzt eine hybride Architektur für die Überwachung seiner Pumpwerke. Kritische Steuerungsfunktionen und Echtzeit-Anomalieerkennung laufen lokal auf Edge-Geräten. Historische Datenanalysen, Predictive Maintenance und übergreifende Korrelationsanalysen erfolgen in einer privaten Cloud-Umgebung. Diese Architektur gewährleistet Betriebskontinuität auch bei Cloud-Ausfall und erfüllt gleichzeitig die NIS2-Anforderungen an Lieferkettentransparenz.

Aus regulatorischer Sicht ist nicht das gewählte Architekturmodell ausschlaggebend. Entscheidend ist vielmehr, ob der Betreiber die aus der jeweiligen Architektur resultierenden Abhängigkeiten transparent identifiziert, risikobasiert bewertet und durch geeignete organisatorische, technische und vertragliche Maßnahmen wirksam steuert.

Systeme zur Angriffserkennung (SzA) im Cloud-Kontext

Systeme zur Angriffserkennung im Sinne von § 8a BSIG stellen keine eigenständige regulatorische Kategorie dar. Sie sind vielmehr eine funktionale Ausprägung cloud-abhängiger Software und Dienstleistungen. Dazu zählen insbesondere SIEM-, SOC-, NDR-, XDR- und MDR-Lösungen sowie KI-gestützte Detektions- und Analyseplattformen, sofern sie zur Erkennung sicherheitsrelevanter Ereignisse in Kritischen Infrastrukturen eingesetzt werden.

Entscheidend ist nicht die eingesetzte Detektions- oder Analysetechnologie. Maßgeblich ist vielmehr die Fähigkeit des Betreibers, Angriffe zeitnah zu erkennen, sachgerecht zu bewerten, nachvollziehbar zu priorisieren und in definierte Reaktions- und Meldeprozesse zu überführen. Betreiber müssen Systeme zur Angriffserkennung daher stets im Zusammenhang mit der gesamten Sicherheits-, Betriebs- und Meldeorganisation betrachten.

Cloud-abhängige SzA müssen hierfür prüf- und nachvollziehbare Transparenz herstellen. Dazu gehört insbesondere die eindeutige Beschreibung der genutzten Datenquellen, der Datenflüsse und Analysepfade, der Alarmierungs- und Korrelationlogik, der betrieblichen Verantwortlichkeiten sowie der Schnittstellen zu Incident-Response-, Krisen- und Meldeprozessen. Nur wenn Anbieter diese Elemente klar dokumentieren und in die Betreiberprozesse integrierbar gestalten, kann ein SzA im Sinne von § 8a BSIG als wirksam bewertet und belastbar nachgewiesen werden.

Bewertbarkeit cloud-abhängiger Software und Dienstleistungen

Eine cloud-abhängige Software oder Dienstleistung ist nur dann bewertbar, wenn der Anbieter auskunftsfähige, prüffähige und in die Betreiberprozesse integrierbare Informationen bereitstellt. Bewertbarkeit entsteht nicht durch Produktbeschreibungen oder Funktionslisten. Entscheidend ist vielmehr, ob sich die Leistung nachvollziehbar in den regulatorischen, organisatorischen und betrieblichen Kontext des Betreibers einordnen lässt.

Hierzu gehören insbesondere klare Aussagen zum Leistungsumfang, zu bestehenden Cloud-Abhängigkeiten, zur Art und zum Zweck der Datenverarbeitung sowie zu Rollen und Verantwortlichkeiten im Betrieb. Ebenso relevant sind Informationen zu eingesetzten Subdienstleistern und zur Lieferkette. Darüber hinaus muss der Anbieter nachvollziehbar darstellen, wie die Software oder Dienstleistung in bestehende Betriebs-, Incident-, Krisen- und Meldeprozesse eingebunden wird und welche Schnittstellen hierfür vorgesehen sind.

Zertifikate, Testate oder Prüfberichte können diese Informationen unterstützen und strukturieren. Sie ersetzen jedoch nicht die erforderliche Transparenz über die konkret erbrachte Leistung und ihre Einbindung in die Betreiberorganisation. Maßgeblich ist stets, ob die bereitgestellten Informationen dem Betreiber eine belastbare Bewertung, Steuerung und Nachweisführung ermöglichen.

Globale Cloud-Abhängigkeiten

Betreiber Kritischer Infrastrukturen dürfen große Cloud-Anbieter nutzen, deren Hauptsitz oder wesentliche Betriebskomponenten außerhalb der Europäischen Union liegen. Diese Nutzung geht jedoch mit erhöhten Anforderungen an Transparenz, Risikoabwägung und Steuerungsfähigkeit einher.

In die Bewertung müssen Betreiber insbesondere mögliche rechtliche Zugriffsbefugnisse aus Drittstaaten, die Einbindung von Subdienstleistern, die geografische Verteilung von Rechenzentren und Betriebsfunktionen sowie die vertraglich und technisch vorgesehenen Exit- und Migrationsszenarien einbeziehen. Diese Faktoren wirken sich unmittelbar auf die Beurteilung von Verfügbarkeit, Vertraulichkeit, Integrität und Steuerbarkeit der eingesetzten Leistungen aus.

Entscheidend ist nicht der Sitz des Cloud-Anbieters als solcher. Maßgeblich ist vielmehr, ob der Betreiber unter den gegebenen Rahmenbedingungen seine gesetzliche Betreiberverantwortung weiterhin wirksam wahrnehmen kann. Dazu gehört, Risiken nachvollziehbar zu bewerten und geeignete organisatorische, technische und vertragliche Maßnahmen zur Steuerung dieser Abhängigkeiten umzusetzen.

Konsequenzen für Betreiber und Anbieter

Betreiber Kritischer Infrastrukturen müssen cloud-abhängige Software, Dienstleistungen und Systeme zur Angriffserkennung als integralen Bestandteil der kritischen Leistungserbringung behandeln. Entsprechend müssen sie diese Leistungen in die Sicherheitsarchitektur, das Risikomanagement sowie in die Nachweis- und Dokumentationsprozesse einbinden. Cloud-abhängige Komponenten dürfen nicht isoliert betrachtet werden. Maßgeblich ist, dass sie funktional der Gesamtverantwortung des Betreibers unterliegen und konsequent in Schutzbedarfsfeststellung, Risikoanalyse und Wirksamkeitsnachweise einbezogen werden.

Anbieter cloud-abhängiger Lösungen müssen ihre Software und Dienstleistungen so gestalten und dokumentieren, dass diese Einbindung durch den Betreiber möglich ist. Dazu gehört insbesondere eine auskunftsfähige und nachvollziehbare Beschreibung von Architektur, Abhängigkeiten, Datenverarbeitung, Verantwortlichkeiten und Betriebsprozessen. In regulierten Märkten entscheidet diese regulatorische Anschlussfähigkeit häufig darüber, ob eine Lösung einsetzbar, beschaffbar und investierbar ist. Technische Leistungsfähigkeit allein genügt hierfür nicht.

Unterstützung bei Bewertung und Design

Wir unterstützen Betreiber Kritischer Infrastrukturen bei der strukturierten und regulatorisch belastbaren Bewertung cloud-abhängiger Software, Dienstleistungen und Systeme zur Angriffserkennung. Unsere Arbeit basiert auf den Anforderungen aus BSIG, IT-Grundschutz, NIS2, DSGVO, einschlägigen ISO-Normen sowie dem BSI-C5-Katalog. Unser Ziel: Cloud-abhängige Leistungen fachlich korrekt einordnen, Risiken nachvollziehbar bewerten und eine prüf- und auditierbare Nachweisführung ermöglichen.

Gleichzeitig begleiten wir insbesondere israelische Startups bereits in frühen Architektur-, Design- und Produktphasen dabei, die regulatorischen Anforderungen des deutschen und europäischen KRITIS- und NIS2-Umfelds systematisch zu berücksichtigen. Wir konzentrieren uns darauf, Auskunftsfähigkeit herzustellen, typische regulatorische Ausschlusskriterien frühzeitig zu vermeiden und Produkte so zu gestalten, dass sie sich nahtlos in bestehende Sicherheits-, Betriebs- und Compliance-Strukturen integrieren lassen.

Unser Ziel bei dieser Begleitung: Lösungen nicht nachträglich an regulatorische Anforderungen anpassen, sondern sie von Beginn an so auslegen, dass sie bewertbar, integrierbar und investierbar sind – und nicht erst im Prüf-, Audit- oder Beschaffungsprozess an grundlegenden Anforderungen scheitern.