Kritische Komponenten

Einsatz bei KRITIS-Betreibern

Situation bis 2025

Kritische Komponenten sind in der aktuellen KRITIS-Regulierung in §2 (13) BSIG definiert und müssen durch den Gesetzgeber explizit definiert und bestimmt werden — und gelten dann nur für ausgewählte Bereiche mit erhöhtem Schutzbedarf. Aktuell (bis 2025) wurde dies nur für den KRITIS-Sektor Telekommunikation vorgenommen.

• Kritische Komponenten sind IT-Produkte
• Einsatz in Kritischen Infrastrukturen, d.h. in KRITIS-Anlagen
• Störungen würden zum Ausfall oder erheblicher Beeinträchtigung der KRITIS-Anlage, oder
  zu Gefährdungen für die öffentliche Sicherheit führen
• Werden in einem Gesetz bestimmt, oder
  implementieren kritische Funktionen, die in einem Gesetz bestimmt werden

Meldung beim Innenministerium

KRITIS-Betreiber müssen den geplanten, erstmaligen Einsatz von kritischen Komponenten in ihren KRITIS-Anlagen beim Bundes­innenministerium anzeigen BSIG § 9b (1). Bei nachfolgenden Einsätzen selbiger Komponenten für dieselben Zwecke ist keine erneute Meldung erforderlich. Im TK-Sektor müssen kritische Komponenten dazu noch zertifiziert werden.

Garantieerklärung

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers nach §9b (3) eingesetzt werden. Die Erklärung muss die Anforderungen des Innenministeriums erfüllen und ist dem Innenministerium vor Einsatz vorzulegen.

Erlaubnis durch BMI

Das Innenministerium darf KRITIS-Betreibern den Einsatz kritischer Komponenten bei einer vorraussichtlichen Beeinträchtigung der öffentlichen Ordnung und Sicherheit nach §9b (2) BSIG untersagen. Dies kann der Fall sein, wenn der Hersteller von kritischen Komponenten

• von der Regierung, staatlichen Stellen oder Streitkräften eines Drittstaats kontrolliert wird oder
• an nachteiligen Aktivitäten gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, oder
• der Einsatz der kritischen Komponenten nicht mit den sicherheits­politischen Zielen Deutschlands, der EU oder NATO im Einklang ist.

Nach §9b (4) BSIG darf das BMI den Einsatz ebenfalls untersagen, wenn der Hersteller nicht vertrauenswürdig ist. Die (mangelnde) Vertrauenswürdigkeit ergibt sich dabei aus der Garantieerklärung des Herstellers, Sicherheitstests, Schwachstellen, Manipulationen, Mängeln und technischen Schwachstellen in den betreffenden Produkten.

Situation ab 2025

Die Überfühung von EU NIS2 und RCE in nationales Recht in Deutschland durch das NIS2UmsuCG sowie KRITIS-Dachgesetz führt ab 2025 zu einer Veränderung des regulatorische Rahmens für kritische Komponenten. Bislang waren diese Komponenten im KRITIS-Kontext auf den Telekommunikationssektor beschränkt, mit NIS2 ist eine Erweiterung auf mehr KRITIS-Sektoren zu erwarten.

Während §9b BSIG (alte Fassung, 2021) und die damit zusammenhängende Berücksichtigung kritischer Komponenten ausschließlich für TK-Betreiber relevant war, könnten kritische Komponenten zukünftig auch eine bedeutende Rolle in der Energiewirtschaft spielen.

Im November 2024 wurde eine neue Entwurfsversion der NIS2-Umsetzung mit den Beschlüssen des vierten Ausschusses für Inneres und Heimat veröffentlicht. Diese stellt eine neuen Diskussionsgrundlage dar, die sich mit Blick auf die Regulierung von kritischen Komponenten sowohl vom vorherigen Gesetzesentwurf von Oktober als auch von der bisherigen Regulierung im BSIG unterscheidet.

Neuerungen für kritische Komponenten

Aus den 2024er Referentenentwürfen der NIS2-Umsetzung ergeben sich einige Änderungen für den Umgang mit kritischen Komponenten, unter anderem im BSIG-E (November 2024).

• Vereinfachte Begriffserklärung und Prüfmöglichkeit kritischer Komponenten: Nach §2 (23) BSIG-E sind kritische Komponenten nun IKT-Produkte, die in einer Rechtsverordnung nach §56 (7) BSIG bestimmt werden. Die Kriterien dafür bleiben nah an der Definition des alten BSIG in §2 (13).
• Überarbeitung von §41 (zuvor §9b) BSIG-E hinzu einem Paragraphen für alle relevanten KRITIS-Sektoren: Sollte die Regulierung kritischer Komponenten auf weitere KRITIS-Sektoren ausgeweitet werden, wären Betreiber – analog zum IKT-Bereich – mit vergleichbaren Melde- und Nachweispflichten konfrontiert. Die konkrete Ausgestaltung dieser Ausweitung ist mit Stand Mai 2025 noch weitgehend offen. Klar ist jedoch, dass sich die Anforderung, beim Einkauf und Einsatz (potenziell) kritischer Komponenten beispielsweise nationale Sicherheitsrisiken zu berücksichtigen, je nach Sektor unterschiedlich auf Betreiber auswirken dürfte.
• Erweiterung der Drittstaatenregelung für kritischen Komponenten in §41 (4) BSIG-E, zuvor §9b (2)
• Wegfallen des Garantieerklärungsparagraphen §9b (3) BSIG. Sollte NIS2 analog zu dieser Version umgesetzt werden, dürfen kritische Komponenten auch dann eingesetzt werden, wenn der Hersteller keine Erklärung über seine Vertrauenswürdigkeit (Garantieerklärung) gegenüber dem Betreiber der kritischen Anlage abgegeben hat. Als Begründung wird die Entlastung der Betreiber und eine größere Flexibilität (etwa durch die Möglichkeit für das BMI, unabhängig von einer Anzeige durch den Betreiber zu prüfen, ob der Einsatz kritischer Komponenten potenziell die nationale Sicherheit Deutschlands gefährdet) angeführt.
• Es werden neue Mitwirkungspflichten von Betreibern kritischer Anlagen bei der Prüfung des Einsatzes von kritischen Komponenten nach §41 (5) BSIG-E eingeführt, die bisher nicht konkretisiert worden. Der alte §9b BSIG sah keine Mitwirkungspflichten der Betreiber an den Prüfungsverfahren vor. Die Mitwirkungspflichten nach §41 (5) BSIG-E würden die bisherigen Vertrauens­würdigkeits­kriterien nach §9b Abs. 5 BSIG ersetzen.

Untersagungsbefugnisse

Die mögliche Untersagung des Einsatzes kritischer Komponenten (§9b Abs. 2 BSIG) bei voraussichtlicher Beeinträchtigung der öffentlichen Ordnung oder Sicherheit erfährt mit der November-Version des BSIG-E (§41 Abs. 2) eine strukturelle Neuordnung.

Im Regierungsentwurf des BSIG-E von Sommer 2024 entsprach §41 Abs. 2 BSIG-E im Wesentlichen der bisherigen Regelung aus dem BSIG (§9b Abs. 2). So hätte das BMI bei Vorliegen eines sicherheitspolitischen Risikos den geplanten erstmaligen Einsatz einer kritischen Komponente weiterhin untersagen können. Als Prüfmaßstab dienten explizit genannte Kriterien, wie die unmittelbare oder mittelbare Kontrolle durch die Regierung eines Drittstaates (im Detail unten).

Mit §41 Abs. 2 BSIG-E von November 2024 erfolgte eine deutliche Veränderung, die Vorgabe greift nun erst nach einer Untersagung durch das BMI und erlaubt diesem darauf aufbauend

• dem betroffenen Betreiber auch den Einsatz weiterer Komponenten desselben Typs und Herstellers zu untersagen (§41 Abs. 2 (1)),
• sowie allen Betreibern kritischer Anlagen den Einsatz derselben Komponente oder desselben Typs desselben Herstellers zu untersagen (§41 Abs. 2 (2).

Die bislang zentrale inhaltliche Prüfung der sicherheitspolitischen Relevanz entfällt in §41 Abs. 2 BSIG-E vollständig. Sie wird implizit durch die vorherige Untersagungsentscheidung ersetzt. Eine neue Bewertung wäre für Folgeuntersagungen somit nicht mehr erforderlich, und die ursprüngliche Risikoabwägung entfaltet eine Wirkung, die über den Einzelfall hinausgeht.

Drittstaatenregelung

Ein zentraler Bestandteil der Regulierung kritischer Komponenten ist die sogenannte Drittstaatenregelung nach §41 (4) BSIG-E (zuvor §9b (2)). Sie erlaubt dem BMI, den Einsatz kritischer Komponenten zu untersagen, wenn deren Verwendung Gefahren für die öffentliche Ordnung oder Sicherheit darstellen könnte, insbesondere wenn der Hersteller unter dem Einfluss einer Regierung außerhalb der EU steht.

Nach §41 (4) BSIG-E kann bei der Prüfung einer voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicherheit insbesondere berücksichtigt werden, ob

1. der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird, der zur Zusammenarbeit mit staatlichen Stellen oder Streitkräften eines Drittstaates verpflichtet ist oder von dem Drittstaat hierzu verpflichtet werden kann,
2. der Hersteller bereits an Aktivitäten beteiligt war oder ist, die nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihandelsassoziation oder des Nordatlantikvertrages oder auf deren Einrichtungen hatten, oder
3. hinreichende Anhaltspunkte dafür bestehen, dass der Hersteller aus sonstigen Gründen nicht vertrauenswürdig ist, (gestrichen in 2024!)
4. der Einsatz der kritischen Komponente im Einklang mit den sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantikvertrages steht.

Die Erweiterung des neuen §41 Abs. 4 BSIG-E präzisiert die bestehende Drittstaatenklausel und reagiert unter anderem auf die sicherheitspolitische Debatte um IKT-Anbieter aus Drittstaaten. Im überarbeiteten Wortlaut wird nun explizit berücksichtigt, ob ein Hersteller unmittelbar oder mittelbar von einer Regierung, staatlichen Stelle oder dem Militär eines Drittstaates kontrolliert wird.

Zudem wird einbezogen, ob dieser Staat das Unternehmen zur Zusammenarbeit mit seinen Behörden oder Streitkräften verpflichtet hat oder verpflichten kann. Diese Erweiterung greift die Debatte ausländische Sicherheitsgesetzgebung auf, die nationale Unternehmen zur Zusammenarbeit mit staatlichen Stellen bei der Herausgabe von Kundendaten verpflichten kann.

Vetrauenswürdigkeit

Im Regierungsentwurf des BSIG-E (Stand Sommer 2024) war vorgesehen, dass die bisherigen Vertrauenswürdigkeitskriterien (§9b Abs. 5 BSIG) auch in der NIS2-Umsetzung beibehalten werden sollten. Nach §41 (5) BSIG-E könnten Hersteller demnach weiterhin als nicht vertrauenswürdig eingestuft werden können, sofern hinreichende Anhaltspunkte dafür bestehen, dass

• sie gegen die in der Garantieerklärung eingegangenen Verpflichtungen verstoßen haben.
• in der Erklärung unwahre Tatsachenbehauptungen angegeben sind.
• Sicherheitsüberprüfungen und Penetrationsanalysen an ihren Produkten und in der Produktionsumgebung nicht im erforderlichen Umfang in angemessener Weise unterstützt.
• Schwachstellen oder Manipulationen an ihren Produkten nicht unverzüglich nach Kenntnisnahme beseitigt und dem Betreiber kritischer Anlagen meldet.
• die kritische Komponente auf Grund von Mängeln ein erhöhtes Gefährdungspotenzial aufweist oder aufgewiesen hat oder
• die kritische Komponente über technische Eigenschaften verfügt(e), die spezifisch geeignet sind oder waren, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können.

In der letzten Version des BSIG-E (November 2024) entfielen diese Regelungen und wurden durch die Mitwirkungspflichten der Betreiber (§41 Abs. 5 BSIG-E, siehe oben) ersetzt. Ob und in welcher Form die Vertrauenswürdigkeitskriterien letztlich in der Novelle des BSIG berücksichtigt werden, bleibt (Stand Mai 2025) abzuwarten.

Ausweitung der kritischen Komponenten

Bisher betraf die Gesetzgebung kritischer Komponenten vor allem den Telekommunikations-Bereich und 5G-Netze. So war etwa die Anzeige- und Meldepflicht für KRITIS-Betreiber beim Einsatz kritischer Komponenten nach BSIG für andere Sektoren wie Energiebetreiber nicht anwendbar und kritische Komponenten außerhalb vom IKT-Sektor nicht definiert.

Mit der Öffnung des Geltungsbereiches aus §41 (1) BSIG-E ist möglich, dass kritische Komponenten künftig auch in der Energiewirtschaft und anderen KRITIS-Sektoren eine Rolle spielen, was in den Entwürfen des EnWG-E im Rahmen der NIS2-Referentenentwürfe schon angedeutet wurde.

Diese Erweiterung hätte unter anderem weitreichende Konsequenzen für die in Deutschland stark lokalisierte Energiewirtschaft. Die Betreiber müssten zukünftig nicht nur (potenziell) kritische Komponenten in ihre Beschaffungsoprozesse einbeziehen, sondern sich auch mit der vagen Definition dieser auseinandersetzen. Während dies auf Seiten des Gesetzgebers eine strategische Ambiguität darstellt, könnten vage Definitionen auf Seiten der Betreiber zu mehr Unsicherheit führen und damit disruptiv auf die Energiewirtschaft und andere KRITIS-Sektoren wirken.

Darüber hinaus wirft die Ausweitung der Regulierung zentrale Fragen auf: Wann steht der Einsatz einer kritischen Komponente im Einklang mit den sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantikvertrages? Eine Klärung dieser Frage dürfte eher auf politischer Ebene, als durch das Gesetz selbst erfolgen.

Inwieweit ist ein Ausschluss von Drittlandsherstellern mit geltendem WTO-Wettbewerbsrecht vereinbar? Schließlich ist auf das neu entstehende, komplexere Dreiecksverhältnis zwischen Gesetzgeber, Betreibern und Herstellern sowie auf den steigenden bürokratischen Aufwand hinzuweisen, der mit den aktuellen Versicherheitlichungsbemühungen einhergeht.

Telekommunikation und Energie

Derzeit gibt es nur im Sektor Telekommunikation formell definierte kritische Komponenten, definiert durch das TKG und die BNetzA. Seit Mai 2025 gibt es ein Eckpunktepapier der Bundesnetzagentur zur Überarbeitung der IT-Sicherheitskataloge im Energiesektor mit erstmals einer Liste kritischer Funktionen, die durch kritische Komponenten bereitgestellt werden.

eigene Zusammenstellung, Stand Mai 2025

KRITIS-Sektor	Kritische Komponenten oder Funktionen
Telekommunikation (IKT) durch §167 (1) Nr. 2 TKG	Öffentliche 5G-Mobilfunknetze, davon: Core network functions NFV management and network orchestration (MANO) Management systems and supporting services Radio Access Network (RAN) Transport and transmission Internetwork exchanges
Energiesektor durch §5c (12) EnWG-E	Steuerung, Leittechnik, Netzschutz Netz- und Anlagensteuerung (zentrale und dezentrale Prozess- und Netzleittechnik) Netz- und Systemsteuerung Offshore/HVDC Netzzustandserfassung und Störungsmeldungsverarbeitung Dynamische Grenzwertberechnung Netz schützen
	Netzführung, Schaltleitung EnWG-Kaskade Netzwiederaufbau
	Stationsbetrieb Infrastrukturbetrieb OT-Betrieb/dezentrale Leittechnik
	Systembilanz, Frequenzhaltung Leistungsfrequenzregelung Minutenreserve einsetzen Kapazitätsreserve
	Operatives Engpassmanagement Redispatchmaßnahmen
	IKT-Betrieb, Sachdatenverwaltung Betrieb des Nachrichtennetzes/TK-Betrieb Leitstellen-Telefonie Fernwartungszugänge

Literatur

1. Fragen und Antworten zum Einsatz kritischer Komponenten, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
2. Liste der kritischen Funktionen nach § 109 Abs. 6 TKG für öffentliche Telekommunikations­netze und -dienste mit erhöhtem Gefährdungs­potenzial, Bundesnetzagentur (BNetzA), 18.08.2021
3. Festlegung des Kataloges von Sicherheits­anforderungen, BNetzA Pressemitteilung, 25.08.2021

Quellen

1. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist