Das BSI definiert seit 2025 mit der Reife- und Umsetzungsgradbewertung (RUN) verbindliche Reifegrade und Maßnahmen für KRITIS-Betreiber. Betreiber sollten sich in der Umsetzung von Cybersecurity daran orientieren, damit Prüfer in KRITIS-Prüfungen den Reifegrad von Managementsystemen und Maßnahmen nach RUN feststellen können. Es gibt fünf Reifegrade und Umsetzungsgrade für Cybersecurity, die das BSI in den RUN-Vorgaben definiert hat: Managementsysteme (Reife) und Maßnahmen (Umsetzung). Nr Reifegrad ISMS, BCMS Umsetzungsgrad SzA, OrgM, PersM, PhyM, TecM 1 Geplant Ohne Maßnahmenumsetzung 2 Gesteuert Einzelmaßnahmen, Teildurchführung 3 Etabliert Maßnahmen umgesetzt, Prozessdurchführung 4 Messbar Maßnahmen umgesetzt, plus Messbarkeit 5 Kontinuierlich verbessert Maßnahmen umgesetzt, plus Verbesserung Mit RUN hat das BSI zusätzlich Reifegraden einzelne KRITIS-Maßnahmen aus der Konkretisierung der Anforderungen (KdA) und Angriffserkennung (OH SzA) zugeordnet. Das OpenKRITIS Reifegrade-Mapping listet nun erstmalig alle relevanten KRITIS-Anforderungen pro Reifegrad mit den einzelnen Maßnahmen auf – damit wird das Mindestniveau pro Reifegrad vom BSI übersichtlicher.