Kritische Komponenten

Seit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber dem Innenministerium den Einsatz von kritischen Komponenten nach §9b BSIG anzeigen. Diese kritischen Komponenten sind IT-Produkte mit kritischen Funktionen, deren Ausfall KRITIS-Anlagen erheblich beeinträchtigen würde und daher besonders schützenswert sind.

Die kritischen Komponenten und Funktionen müssen in weiteren Gesetzen bestimmt werden — bis 2021 nur im Sektor Telekommunikation durch das Telekom­munikations­gesetz (TKG), in anderen Sektoren noch nicht.

Umgang mit kritischen Komponenten

Definition

Kritische Komponenten sind in §2 (13) BSIG wie folgt definiert:

D.h.: Kritische Komponenten müssen durch den Gesetzgeber explizit definiert und bestimmt werden — und gelten dann nur für ausgewählte Bereiche mit erhöhtem Schutzbedarf.

Einsatz bei KRITIS-Betreibern

Anzeigen beim BMI

KRITIS-Betreiber müssen den geplanten, erstmaligen Einsatz von kritischen Komponenten in ihren KRITIS-Anlagen beim Bundes­innenministerium anzeigen. Im TK-Sektor müssen kritische Komponenten dazu noch zertifiziert werden.

Garantieerklärung

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers nach §9b (3) eingesetzt werden. Die Erklärung muss den Anforderungen des Innenministeriums erfüllen und ist dem Innenministerium vor Einsatz vorzulegen.

Erlaubnis durch BMI

Das Innenministerium darf KRITIS-Betreibern den Einsatz kritischer Komponenten bei einer vorraussichtlichen Beeinträchtigung der öffentlichen Ordnung und Sicherheit nach §9b (2) BSIG untersagen. Dies kann der Fall sein, wenn der Hersteller von kritischen Komponenten

Nach §9b (4) BSIG darf das BMI den Einsatz ebenfalls untersagen, wenn der Hersteller nicht vertrauenswürdig ist. Die (mangelnde) Vertrauenswürdigkeit ergibt sich dabei aus der Garantieerklärung des Herstellers, Sicherheitstests, Schwachstellen, Manipulationen, Mängeln und technischen Schwachstellen in den betreffenden Produkten.

Liste kritischer Komponenten

Zurzeit, Stand 2021, gibt es nur im Sektor Telekommunikation kritische Komponenten, definiert durch das TKG und die BNetzA.

eigene Zusammenstellung, Stand August 2021
KRITIS-Sektor Kritische Komponenten oder Funktionen
Telekommunikation (IKT)
durch §167 (1) Nr.2 TKG
Öffentliche 5G-Mobilfunknetze, davon:
  • Core network functions
  • NFV management and network orchestration (MANO)
  • Management systems and supporting services
  • Radio Access Network (RAN)
  • Transport and transmission
  • Internetwork exchanges

up

Weitere Informationen

Literatur

  1. Fragen und Antworten zum Einsatz kritischer Komponenten, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. Liste der kritischen Funktionen nach § 109 Abs. 6 TKG für öffentliche Telekommunikations­netze und -dienste mit erhöhtem Gef√§hrdungs­potenzial, Bundesnetzagentur (BNetzA), 18.08.2021
  3. Festlegung des Kataloges von Sicherheits­anforderungen, BNetzA Pressemitteilung, 25.08.2021

Quellen

  1. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist