Identifikation von KRITIS-Anlagen

Erbringen Unternehmen mit eigenen Anlagen kritische Dienstleistungen über den Schwellenwerten nach dem IT-Sicherheitsgesetz, müssen sich sie beim BSI als Kritische Infrastruktur registrieren und werden zum KRITIS-Betreiber — mit Cyber Security Pflichten und Rechtsfolgen. Versorgt eine Anlage über 500 Tsd. Personen mit einer kritischen Dienstleistung, ist sie nach den Schwellenwerten meist kritisch (KRITIS).

Betreiber sind für die eigene Identifikation von KRITIS-Anlagen und Feststellung der Betroffenheit als Kritische Infrastruktur verantwortlich. Die KRITIS-Anlagen und deren Schwellenwerte sind in der KRITIS-Verordnung für alle KRITIS-Sektoren definiert.

Ablauf der Identifikation

Der erste Schritt in der Identifikation als Kritische Infrastruktur startet bei den KRITIS-Sektoren und den dort definierten kritischen Dienstleistungen (kDL). Erbringen Unternehmen kritische Dienstleistungen, sind sie für die Identifikation und das Feststellen der Schwellenwerte auf möglichen KRITIS-Anlagen im eigenen Betrieb selbst verantwortlich. Treffen die folgenden Kriterien alle zu, ist die Anlage KRITIS.

eigene Zusammenstellung KRITIS-Identifikation
# Parameter Kriterium
1. Sektor und Dienstleistung KRITIS-Sektor
kritische Dienstleistung
2. Geographie Wertschöpfung in Deutschland
3. Anlagen Wertschöpfung in KRITIS-Anlagen
4. Schwellenwerte KRITIS-Anlage ≥ Schwellenwert
5. Zeitraum Pro Kalenderjahr oder Stichtag
6. Kritische Infrastruktur Wenn 1+2+3+4+5

Am Beispiel eines Gesundheitsversorgers, der die KRITIS-Betroffenheit seiner Krankenhäuser prüft.

1. Sektor und Dienstleistung

KRITIS-Anlagen erbringen kritische Dienstleistungen in den KRITIS-Sektoren zur Versorgung der Bevölkerung. Kritische Infrastrukturen, also KRITIS-Anlagen, befinden sich immer in KRITIS-Sektoren, die Betreiber selbst können auch in anderen Sektoren tätig sein.

Alle Dienstleistungen und Sektoren sind in der KRITIS-Verordnung definiert.

Beispiel: Der Konzern erbringt eine kritische Dienstleistung in einem KRITIS-Sektor.

Betreiber KRITIS-Sektor Kritische Dienstleistung KritisV
Gesundheitskonzern Gesundheit stationäre medizinische Versorgung §6 (1) 1.

2. Geographie

Die Wertschöpfung der kritischen Dienstleistung muss in Anlagen in Deutschland stattfinden. Der Betreiber selbst kann (auch) international tätig sein — wichtig ist der Standort der KRITIS-Anlagen auf Bundesgebiet.

Beispiel: Der Konzern erbringt die Dienstleistung in Deutschland in zwei Krankenhäusern.

Zentrale Wertschöpfung Standort der Anlagen
Europa stationäre medizinische Versorgung europaweit und Deutschland

3. Anlagen

Die kritische Dienstleistung muss in Anlagen erbracht werden, die in der umfangreichen Liste der KRITIS-Anlagen der KritisV definiert sind. Die Anlagen sind spezifisch pro KRITIS-Sektor, und meint hier generell Betriebsstätten, Standorte oder sonstige ortsfeste Einrichtungen.

Beispiel: Krankenhäuser sind im Sektor Gesundheit als Anlage 1.1 definiert

Anlage Standort KRITIS-Anlage KritisV
Krankenhaus Berlin, Deutschland 1.1 Krankenhaus Anhang 5, 1. a)
Krankenhaus Hangelar, Deutschland 1.1 Krankenhaus Anhang 5, 1. a)

4. Schwellenwerte

Anlagen müssen Schwellenwerte überschreiten, um zur Versorgungssicherheit wichtigen Kritischen Infrastruktur zu werden. Die Schwellenwerte leiten sich (meist) aus der für die Versorgung von 500.000 Personen benötigten Leistung oder Kapazität pro Jahr ab, und sind pro Sektor und Anlage in der KritisV definiert.

Betreiber müssen die Leistung der eigenen KRITIS-Anlagen feststellen und das Überschreiten der Schwellenwerte fristgerecht selbst erkennen.

Beispiel: Der Schwellenwert für die Anlagen 1.1 ‘Krankenhäuser’ ist 30 Tsd. Fälle pro Jahr.
In 2019 hatte das Krankenhaus in Berlin beim Betreiber 40 Tsd. vollstationäre Fälle (= KRITIS), das in Hangelar nur 20 Tsd. (≠ KRITIS).

Anlage Leistung Schwellenwert KritisV
Krankenhaus Berlin (1.1) 40 Tsd. Fälle/2019 30 Tsd. vollstationäre
Fallzahl pro Jahr
Anhang 5, Teil 3 1.1
Krankenhaus Hangelar (1.1) 20 Tsd. Fälle/2019 30 Tsd. vollstationäre
Fallzahl pro Jahr
Anhang 5, Teil 3 1.1

5. Zeitraum

Die Schwellenwerte müssen in einem Kalenderjahr überschritten und (meist) bis zum 31. März des Folgejahrs ermittelt werden. Bei einigen Anlagen gibt es in der KritisV auch abweichende Stichtage und Fristen, die Daten sind bei den einzelnen KRITIS-Sektoren aufgelistet.

Beispiel: Der Betreiber ermittelt den Schwellenwert des Krankenhauses Berlin vor der Frist und meldet die Anlage fristgerecht. Das Krankenhaus Hangelar wird zu spät ermittelt, bleibt jedoch 2019 unter dem Schwellenwert und ist damit nicht KRITIS.

Anlage Leistung Festgestellt KRITIS-Meldung
Krankenhaus Berlin 40 Tsd. Fälle/2019 10. Februar 2020 1. April 2020
Krankenhaus Hangelar 20 Tsd. Fälle/2019 30. April 2020 keine

6. Kritische Infrastruktur

Treffen auf eine Anlage alle fünf Kriterien oben zu, ist diese wahrscheinlich KRITIS und muss als Kritische Infrastruktur beim BSI registriert werden. Der Betreiber wird damit zum KRITIS-Betreiber mit diversen Pflichten für Cyber Security seiner KRITIS-Anlagen.

Mit den Informationen aus der Identifikation wird nach der Registrierung der Geltungsbereich der KRITIS-Anlage definiert. Dieser beschreibt die Grenzen der Anlage im Unternehmen des KRITIS-Betreibers mit den zur Anlage gehörenden Prozesse, IT und OT.

Weitere Informationen

Literatur

  1. Schutz Kritischer Infrastrukturen - Identifizierung in sieben Schritten, Arbeitshilfe für die Anwendung im Bevölkerungsschutz, Band 20 Praxis im Bevölkerungsschutz, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2019
  2. KRITIS-FAQ: FAQ zur BSI-Kritisverordnung, Bundesamt für Sicherheit in der Informationstechnik

Quellen

  1. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  2. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist