Der BSI-Katalog Konkretisierung der Anforderungen (KdA) definiert als quasi-Standard für Betreiber Kritischer Infrastrukturen grundlegende Cybersecurity-Anforderungen. Die KdA basiert auf dem C5 Cloud Security Standard und wird von KRITIS-Betreibern und KRITIS-Prüfern genutzt. Das BSI hat 2024 die Anforderungen für Angriffserkennung (SzA) und Reifegrade (RUN) mit der KdA integriert. Kategorie Beschreibung Kontrollen ISMS Management-System für Informationssicherheit 21 BCM und Notfall-Management Business Continuity Management und IT-Notfallmanagement 4 Risiko und Assets Risiko-Management und Asset-Management 12 KRITIS KRITIS-Organisation und Meldestelle. 2 Technologie Technische Maßnahmen IT 36 Angriffserkennung Systeme zur Angriffserkennung. 13 IAM Berechtigungen 7 Gebäude Physische Sicherheit 6 Lieferanten Externe 2 Angriffserkennung Logging, Detektion, Reaktion 35 Das OpenKRITIS-Mapping der Konkretisierung der Anforderungen ordnet die 135 KRITIS-Anforderungen aktuellen Cybersecurity-Standards zu und wurde 2025 an die neuen BSI-Vorgaben angepasst: Neu NIS2-Anforderungen mit einzelnen Anforderungen aus dem EU NIS2 Implementing Act Neu Umsetzungsgrad (RUN): Mindestniveau nach BSI RUN-Vorgaben mit Reifegraden ISO/IEC 27001:2022: Informations­sicherheit der ISO 27001 Annex A Kontrollen. BSI C5:2020: Aktualisierter BSI Cloud Security Standard mit Neuerungen.