KRITIS bedeutet hier: Sie kaufen Produkte, die Versorgungssicherheit, Betrieb und Reaktionsfähigkeit beeinflusst - oft mit Laufzeiten von 10-20 Jahren. Das gilt für den Netzbetrieb ebenso wie in den Bereichen Bäder, Mobilität oder städtische Infrastruktur. Mit dem Cyber Resilience Act (CRA) wird Cyber-Sicherheit zu Produktrecht: Hersteller müssen Sicherheit, Update-Fähigkeit und Transparenz ab Werk liefern - der Betreiber steht nicht im Gesetz, trägt aber das Risiko, welches der Einkauf vertraglich absichern muss..
Typische Annahme: „CRA, NIS2, KRITIS - das liegt in der Zuständigkeit von IT oder Recht.“
Praxis: Mit DORA wurde dem Finanzsektor eine vergleichbare Regulierung auferlegt.
Die erforderlichen Anpassungen der Vereinbarungen mit Produktlieferanten und Dienstleistern führten zu millionenschweren
Aufwänden für externe Unterstützung bei der nachträglichen Überarbeitung bestehender Vertragswerke.
Nachträgliche Anpassungen sind aufwendig.
Eine compliance-konforme Beschaffung reduziert langfristig Kosten,
operativen Aufwand und Rechtsstreitigkeiten.
Jeden neuen Vertrag ab sofort CRA-konform ausführen!
Versorger beschaffen hunderte von Softwareprodukten - von Office über DMS und Workflow bis hin zu Fachanwendungen.
Der CRA setzt hier keinen pauschalen Fokus, sondern verlangt eine risikobasierte Betrachtung:
Entscheidend ist nicht die Art der Software, sondern die mögliche Auswirkung eines Sicherheitsvorfalls
auf Betrieb, Prozesse und Versorgungssicherheit.
Die Kritikalität muss der Fachbereich bewerten, dokumentieren und an den Einkauf übermitteln.
Betriebsnahe Software (Steuerung, Datenübertragung, Plattformen) erfordert klare Mindestzusagen zu Updates, Sicherheit und Support - mit steigenden Anforderungen bei zunehmender Kritikalität.
Der CRA betrifft nicht „irgendwelche IT“. Er trifft genau die Produkte, die heute und morgen den Netz- und Stadtbetrieb prägen.
Digitale Produkte, lange Laufzeiten, hohe Abhängigkeit - und künftig klare Mindestanforderungen aus dem Produktrecht (Update-Fähigkeit, Transparenz, Security-by-Default).
Der Einkauf verfügt mit Lieferantenauswahl, Vertragsstandards und
Vertragslaufzeiten über die zentralen Hebel zur Steuerung des Risikoprofils.
Im Prüfungs- oder Ereignisfall - insbesondere im Rahmen von KRITIS-Prüfungen nach § 8a BSIG - wird bewertet,
ob diese Risiken im Beschaffungsprozess strukturiert identifiziert, bewertet und vertraglich beherrscht wurden.
Zeigen sich im Rahmen einer Prüfung, eines Audits oder nach einem
Sicherheits- bzw. Störfall Defizite in der Absicherung,
muss der Einkauf Stellung nehmen:
„Warum wurden diese Risiken im Beschaffungsprozess nicht strukturiert adressiert?“
Unwissenheit schützt vor Verantwortung nicht - aber Vorbereitung schützt vor Nacharbeiten.
Kein Juristen-Seminar. Kein Technik-Deep-Dive. Sondern: praxisnaher Einkauf im KRITIS-Kontext - mit klaren Checklisten, Formulierungen und Beispielen.
Direkt anwendbares Know-how zur sicheren und risikobewussten Beschaffung digitaler und vernetzter Produkte im CRA- und KRITIS-Kontext.
Geschulte Einkäufer sind der KI überlegen, weil sie Kontext, Betriebsfolgen und regulatorische Verantwortung ganzheitlich einordnen und die daraus resultierenden Entscheidungen verantworten.
Gerne unterstützt project biz Sie dabei, CRA- und KRITIS-Anforderungen strukturiert und dauerhaft im Beschaffungsprozess zu verankern - mit klarem Fokus auf Umsetzbarkeit, Nachvollziehbarkeit und betriebliche Wirkung.
Ansprechpartner: Dr. Manfred Fitzner
Beratung & Schulung im KRITIS- und CRA-Umfeld · Unterstützung bei der Optimierung Ihrer Vertragswerke
Hinweis: Software liefert die factory: factory-biz.de