Das System Eisenbahn ist seit jeher eine kritische Infrastruktur. Mit dem IT-Sicherheitsgesetz kommen auf bestimmte Eisenbahnunternehmen neue Aufgaben zu. Der Artikel zeigt auf, welche Unternehmen betroffen sind und was diese beachten müssen.

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Sie bilden die Grundlage für die Funktionsfähigkeit moderner Gesellschaften. Deren Schädigung kann schwerwiegende Folgen haben; von der Schädigung unseres Wirtschaftssystems, der öffentlichen Sicherheit und Ordnung und der Umwelt bis zur gesundheitlichen Beeinträchtigung von Menschen. Sie sind damit  Bestandteil des gesamtgesellschaftlichen Sicherheitssystems in Deutschland. Die Verantwortung für den sicheren Betrieb von KRITIS liegt bei den privaten und öffentlichen Betreibern, im Bereich der Eisenbahnen können dies staatliche oder private Eisenbahnunternehmen sein. Der Staat übernimmt dabei die  Gewährleisterverantwortung und schafft in dieser Funktion die Rahmenbedingungen, die den Schutz der kritischen Infrastrukturen sicherstellen. Die privaten Betreiber kritischer Infrastrukturen haben im Rahmen ihrer unternehmerischen Freiheit auch ihre gesellschaftliche Verantwortung zu berücksichtigen.