KRITIS-Betreiber

Unternehmen in KRITIS-Sektoren, deren Anlagen die Schwellenwerte als Kritische Infrastruktur überschreiten, fallen unter die KRITIS-Regulierung und werden zum KRITIS-Betreiber. Als KRITIS-Betreiber unterliegen sie dann einer Fülle von Cyber Security Pflichten. 2.0 Mit dem IT-Sicherheitsgesetz 2.0 gehören auch Unternehmen im besonderen öffentlichen Interesse zur Regulierung mit eigenen Rechtsfolgen.

Die einzelnen KRITIS-Pflichten als KRITIS-Betreiber beginnen mit der Identifikation als Kritische Infrastruktur bis hin zu Meldepflichten, Security Maßnahmen und Prüfungen als Nachweis. Eine eigene KRITIS-Organisation kann diese Prozesse zentral steuern.

Pflichten von KRITIS-Betreibern

eigene Zusammenstellung KRITIS-Pflichten
Pflicht Handlung Verantwortlich
(A)
Durchführung
(R)
Dritte
(C/I)
Wann
1. Identifikation Analyse der KRITIS-Anlagen und Feststellung eigener Betroffenheit Geschäftsführung Geschäftsführung jährlich
2. Registrierung Meldung der KRITIS-Anlagen und Registrierung beim BSI Geschäftsführung Geschäftsführung BSI nach (1)
3. Meldungen Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI Geschäftsführung CISO BSI unverzüglich
4. Geltungsbereich KRITIS-Anlagen definieren und Scope im Unternehmen festlegen Geschäftsführung CISO nach (1)
vor (6)
5. Cyber Security Sicherheitsvorkehrungen treffen und Maßnahmen umsetzen Geschäftsführung IT/OT/Betrieb regelmäßig
6. → Prüfung Umsetzung der Cyber Security Maßnahmen nachweisen Geschäftsführung KRITIS-Prüfer BSI zweijährlich

Wie werde ich KRITIS-Betreiber?

Betreiber sind für die Identifikation und Feststellung der Betroffenheit ihrer Anlagen und Schwellenwerte selbst verantwortlich. Die Analyse beginnt mit den Dienstleistungen der KRITIS-Sektoren — Betreiber müssen mögliche KRITIS-Anlagen im eigenen Betrieb identifizieren und das Überschreiten von Schwellenwerten dabei selbst erkennen.

Werden Schwellenwerte von Anlagen überschritten, müssen Betreiber diese Anlage beim BSI als Kritische Infrastruktur und sich selbst als KRITIS-Betreiber registrieren.

Meldungen an das BSI

Nach der Registrierung unterliegen KRITIS-Betreiber weiterhin einem Austausch mit dem BSI und Meldepflichten. Stören Angriffe oder Vorfälle die kritische Dienstleistung der KRITIS-Anlage oder haben das Potenzial dazu, müssen Betreiber den Vorfall an das BSI melden. Das BSI kann während der Bewältigung Informationen ersuchen und Unterstützung anbieten.

2.0 Die Informationspflichten an das BSI werden mit dem IT-Sicherheitsgesetz 2.0 zunehmen — neben mehr Informationen zur IT/OT noch tiefere Daten zu Angriffen und Schwachstellen.

Geltungsbereich

Nach Feststellung der eigenen Betroffenheit müssen Betreiber den Geltungsbereich der KRITIS-Anlagen im eigenen Unternehmen definieren. Dieser Geltungsbereich beschreibt und dokumentiert pro Anlage die für den Betrieb notwendigen Prozesse und Technologien (IT und OT) und ist im weiteren Verlauf relevant für:

  1. Cyber Security Maßnahmen: Der Geltungsbereich definiert die Grenzen der in den Anlagen notwendigen Sicherheitsvorkehrungen (durch angemessene Maßnahmen).
  2. BSIG Nachweisprüfungen: Bei der Prüfung der Sicherheitsvorkehrungen in den KRITIS-Anlagen definiert der Geltungsbereich den Scope der Prüfung für den KRITIS-Prüfer.

2.0 Der Aufwand im Geltungsbereich wird mit dem IT-Sicherheitsgesetz 2.0 zunehmen — durch ein detaillierteres Inventar und zulassungspflichtige IT-Produkte (die so genannten kritischen Komponenten).

Cyber Security

Sind KRITIS-Anlagen vorhanden und die Betroffenheit als Kritische Infrastruktur festgestellt, müssen Betreiber für angemessene Cyber Security im Geltungsbereich der Anlagen sorgen.

Dazu sollten mindestens die folgenden Aspekte berücksichtigt werden:

  1. Angemessenheit: Maßnahmen müssen nach §8a (1) BSIG angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen umfassen.
  2. Umgang mit Risiken: Betreiber sind für die KRITIS-Risiken in ihren Anlagen verantwortlich (A), die Risiken können in der Behandlung nicht verlagert oder vermieden werden.
  3. Mindestniveau und Stand der Technik: Risiken in den KRITIS-Anlagen müssen gemanaged und Cyber Security Maßnahmen nach Stand der Technik implementiert werden.

Prüfungen

Die Angemessenheit und Wirksamkeit der IT-Sicherheitsmaßnahmen in den KRITIS-Anlagen müssen KRITIS-Betreiber alle zwei Jahre durch Prüfungen oder Audits nachweisen. KRITIS-Betreiber müssen die Prüfungen dafür selbst planen und beauftragen.

In den §8a BSIG Nachweisprüfungen untersuchen (in der Regel externe) Prüfer den KRITIS-Geltungsbereich, das dortige Risiko-Management und das Vorhandensein (Angemessenheit) und die Effektivität (Wirksamkeit) von Cyber Security Maßnahmen.

Das komplette Prozedere zur Vorbereitung, Durchführung und Management dieser Prüfungen für KRITIS-Betreiber ist in einem separaten Abschnitt zu Prüfungen erläutert.

Weitere Informationen

Quellen

  1. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  2. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist