Kritische Komponenten

Einsatz bei KRITIS-Betreibern

Situation bis 2025

Kritische Komponenten sind in der aktuellen KRITIS-Regulierung in §2 (13) BSIG definiert und müssen durch den Gesetzgeber explizit definiert und bestimmt werden — und gelten dann nur für ausgewählte Bereiche mit erhöhtem Schutzbedarf. Aktuell (bis 2025) wurde dies nur für den KRITIS-Sektor Telekommunikation vorgenommen.

• Kritische Komponenten sind IT-Produkte
• Einsatz in Kritischen Infrastrukturen, d.h. in KRITIS-Anlagen
• Störungen würden zum Ausfall oder erheblicher Beeinträchtigung der KRITIS-Anlage, oder
  zu Gefährdungen für die öffentliche Sicherheit führen
• Werden in einem Gesetz bestimmt, oder
  implementieren kritische Funktionen, die in einem Gesetz bestimmt werden

Meldung beim Innenministerium

KRITIS-Betreiber müssen den geplanten, erstmaligen Einsatz von kritischen Komponenten in ihren KRITIS-Anlagen beim Bundes­innenministerium anzeigen BSIG § 9b (1). Bei nachfolgenden Einsätzen selbiger Komponenten für dieselben Zwecke ist keine erneute Meldung erforderlich. Im TK-Sektor müssen kritische Komponenten dazu noch zertifiziert werden.

Garantieerklärung

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers nach §9b (3) eingesetzt werden. Die Garantieerklärung muss die Anforderungen des Innenministeriums erfüllen und ist dem Innenministerium vor Einsatz vorzulegen.

Erlaubnis durch BMI

Das Innenministerium darf KRITIS-Betreibern den Einsatz kritischer Komponenten bei einer vorraussichtlichen Beeinträchtigung der öffentlichen Ordnung und Sicherheit nach §9b (2) BSIG untersagen. Dies kann der Fall sein, wenn der Hersteller von kritischen Komponenten

• von der Regierung, staatlichen Stellen oder Streitkräften eines Drittstaats kontrolliert wird oder
• an nachteiligen Aktivitäten gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, oder
• der Einsatz der kritischen Komponenten nicht mit den sicherheits­politischen Zielen Deutschlands, der EU oder NATO im Einklang ist.

Nach §9b (4) BSIG darf das BMI den Einsatz ebenfalls untersagen, wenn der Hersteller nicht vertrauenswürdig ist. Die (mangelnde) Vertrauenswürdigkeit ergibt sich dabei aus der Garantieerklärung des Herstellers, Sicherheitstests, Schwachstellen, Manipulationen, Mängeln und technischen Schwachstellen in den betreffenden Produkten.

Telekommunikation

Der Sektor Telekommunikation ist seit 2021 der erste Sektor mit formell definierten kritischen Komponenten. Im Rahmen vom IT-Sicherheitsgesetz 2.0 wurden im Nachgang das TKG und der Sicherheitskatalog der BNetzA angepasst und um kritischen Funktionen erweitert (5G-Netze).

Energiesektor

Mit dem IT-Sicherheitsgesetz 2.0 wurde in §11 (1g) EnWG die Pflicht verankert, dass die BNetzA im Einvernehmen mit dem BSI bis 2023 einen Sicherheitskatalog für den Betrieb von Energieversorgungsnetzen und Energieanlagen festlegt, der kritische Komponenten und Funktionen im Sinne §2 (13) BSIG bestimmt. § 11 Abs. 1g EnWG war als sektorspezifische Ausgestaltung des §9b BSIG zu verstehen.

Dieser gesonderte Sicherheitskatalog wurde bis 2025 nicht veröffentlicht.

Situation ab 2025

Die Überfühung von EU NIS2 und RCE in nationales Recht in Deutschland durch das NIS2UmsuCG sowie KRITIS-Dachgesetz führt ab 2025 zu einer Veränderung des regulatorische Rahmens für kritische Komponenten. Bislang waren diese Komponenten im KRITIS-Kontext auf den Telekommunikationssektor beschränkt, mit NIS2 ist eine Erweiterung auf mehr KRITIS-Sektoren zu erwarten.

Bisher betraf die Gesetzgebung kritischer Komponenten vor allem den Telekommunikations-Bereich und 5G-Netze. So war etwa die Anzeige- und Meldepflicht für KRITIS-Betreiber beim Einsatz kritischer Komponenten nach BSIG für andere Sektoren wie Energiebetreiber nicht anwendbar und kritische Komponenten außerhalb vom IKT-Sektor nicht definiert.

Mit der Öffnung des Geltungsbereiches aus §41 (1) BSIG-E ist möglich, dass kritische Komponenten künftig auch in der Energiewirtschaft und anderen KRITIS-Sektoren eine Rolle spielen, was in den Entwürfen des EnWG-E im Rahmen der NIS2-Referentenentwürfe schon angedeutet wurde.

Diese Erweiterung hätte unter anderem weitreichende Konsequenzen für die in Deutschland stark lokalisierte Energiewirtschaft. Die Betreiber müssten zukünftig nicht nur (potenziell) kritische Komponenten in ihre Beschaffungsoprozesse einbeziehen, sondern sich auch mit der vagen Definition dieser auseinandersetzen. Während dies auf Seiten des Gesetzgebers eine strategische Ambiguität darstellt, könnten vage Definitionen auf Seiten der Betreiber zu mehr Unsicherheit führen und damit disruptiv auf die Energiewirtschaft und andere KRITIS-Sektoren wirken.

Neuerungen für kritische Komponenten

Aus den neuen Gesetzesentwürfen der NIS2-Umsetzung ergeben sich einige Änderungen für den Umgang mit kritischen Komponenten, unter anderem im BSIG-E (Juli 2025).

• Vereinfachte Begriffserklärung und Prüfmöglichkeit kritischer Komponenten: Nach §2 (23) BSIG-E sind kritische Komponenten nun IKT-Produkte, die in einer Rechtsverordnung nach §56 (7) BSIG bestimmt werden. Die Kriterien dafür bleiben nah an der Definition des alten BSIG in §2 (13).
• Überarbeitung von §41 (zuvor §9b) BSIG-E hinzu einem Paragraphen für alle relevanten KRITIS-Sektoren: Sollte die Regulierung kritischer Komponenten auf weitere KRITIS-Sektoren ausgeweitet werden, wären Betreiber – analog zum TK-Bereich – mit vergleichbaren Melde- und Nachweispflichten konfrontiert. Die konkrete Ausgestaltung dieser Ausweitung ist mit Stand Juli 2025 noch weitgehend offen. Klar ist jedoch, dass sich die Anforderung, beim Einkauf und Einsatz (potenziell) kritischer Komponenten beispielsweise nationale Sicherheitsrisiken zu berücksichtigen, je nach Sektor unterschiedlich auf Betreiber auswirken dürfte.
• Erweiterung der Drittstaatenregelung für kritische Komponenten in §41 (4) BSIG-E, zuvor §9b (2) und die Möglichkeit des rückwirkenden Verbots.
• Fortbestehen des Garantieerklärungsparagraphen § 9b (3) BSIG. Sollte NIS2 analog zu dieser Regelung umgesetzt werden, dürfen kritische Komponenten nur dann eingesetzt werden, wenn der Hersteller eine Erklärung über seine Vertrauenswürdigkeit (Garantieerklärung) gegenüber dem Betreiber der kritischen Anlage abgegeben hat.
• (In einem Referentenentwurf der Vorgängerregierung aus von November 2024 war der Wegfall dieses Absatzes zeitweise vorgesehen. Als Begründung wurde die Entlastung der Betreiber sowie eine größere Flexibilität für das Bundesministerium des Innern genannt, etwa durch die Möglichkeit, auch ohne vorherige Anzeige durch den Betreiber zu prüfen, ob der Einsatz kritischer Komponenten eine Gefährdung der nationalen Sicherheit darstellen könnte.)

Untersagungsbefugnisse

Im Regierungsentwurf des BSIG-E (Stand Juli 2025) bleibt die Regelung zur Untersagung des Einsatzes kritischer Komponenten (vormals §9b Abs. 2 BSIG) bei voraussichtlicher Beeinträchtigung der öffentlichen Ordnung oder Sicherheit im Wesentlichen fortbestehen. So hat das BMI bei Vorliegen eines sicherheitspolitischen Risikos das Befugnis, den geplanten erstmaligen Einsatz einer kritischen Komponente zu untersagen. Als Prüfmaßstab dienen explizit genannte Kriterien, wie die unmittelbare oder mittelbare Kontrolle durch die Regierung eines Drittstaates (im Detail unten).

Außerdem ermöglicht §41 Abs. 2 BSIG-E dem BMI

• dem betroffenen Betreiber auch den Einsatz weiterer Komponenten desselben Typs und Herstellers zu untersagen (§41 Abs. 2 (1)),
• sowie allen Betreibern kritischer Anlagen den Einsatz derselben Komponente oder desselben Typs desselben Herstellers zu untersagen (§41 Abs. 2 (2).

Die bislang zentrale inhaltliche Prüfung der sicherheitspolitischen Relevanz entfällt in §41 Abs. 2 BSIG-E vollständig. Sie wird implizit durch die vorherige Untersagungsentscheidung ersetzt. Eine neue Bewertung wäre für Folgeuntersagungen somit nicht mehr erforderlich, und die ursprüngliche Risikoabwägung entfaltet eine Wirkung, die über den Einzelfall hinausgeht.

Drittstaatenregelung

Ein zentraler Bestandteil der Regulierung kritischer Komponenten ist die sogenannte Drittstaatenregelung nach §41 (4) BSIG-E (zuvor §9b (2)). Sie erlaubt dem BMI, den Einsatz kritischer Komponenten zu untersagen, wenn deren Verwendung Gefahren für die öffentliche Ordnung oder Sicherheit darstellen könnte, insbesondere wenn der Hersteller unter dem Einfluss einer Regierung außerhalb der EU steht.

Nach §41 (4) BSIG-E kann bei der Prüfung einer voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicherheit insbesondere berücksichtigt werden, ob

1. der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird, der zur Zusammenarbeit mit staatlichen Stellen oder Streitkräften eines Drittstaates verpflichtet ist oder von dem Drittstaat hierzu verpflichtet werden kann,
2. der Hersteller bereits an Aktivitäten beteiligt war oder ist, die nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihandelsassoziation oder des Nordatlantikvertrages oder auf deren Einrichtungen hatten, oder
3. hinreichende Anhaltspunkte dafür bestehen, dass der Hersteller aus sonstigen Gründen nicht vertrauenswürdig ist, (gestrichen in 2024!)
4. der Einsatz der kritischen Komponente im Einklang mit den sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantikvertrages steht.

Die Erweiterung des neuen §41 Abs. 4 BSIG-E präzisiert die bestehende Drittstaatenklausel und reagiert unter anderem auf die sicherheitspolitische Debatte um IKT-Anbieter aus Drittstaaten. Im überarbeiteten Wortlaut wird nun explizit berücksichtigt, ob ein Hersteller unmittelbar oder mittelbar von einer Regierung, staatlichen Stelle oder dem Militär eines Drittstaates kontrolliert wird.

Zudem wird einbezogen, ob dieser Staat das Unternehmen zur Zusammenarbeit mit seinen Behörden oder Streitkräften verpflichtet hat oder verpflichten kann. Diese Erweiterung greift die Debatte ausländische Sicherheitsgesetzgebung auf, die nationale Unternehmen zur Zusammenarbeit mit staatlichen Stellen bei der Herausgabe von Kundendaten verpflichten kann.

Vetrauenswürdigkeit

Im Regierungsentwurf des BSIG-E (Stand Sommer 2025) ist vorgesehen, dass die bisherigen Vertrauenswürdigkeitskriterien (§9b Abs. 5 BSIG) auch in der NIS2-Umsetzung beibehalten werden sollten. Nach §41 (5) BSIG-E könnten Hersteller demnach weiterhin als nicht vertrauenswürdig eingestuft werden können, sofern hinreichende Anhaltspunkte dafür bestehen, dass

• sie gegen die in der Garantieerklärung eingegangenen Verpflichtungen verstoßen haben.
• in der Erklärung unwahre Tatsachenbehauptungen angegeben sind.
• Sicherheitsüberprüfungen und Penetrationsanalysen an ihren Produkten und in der Produktionsumgebung nicht im erforderlichen Umfang in angemessener Weise unterstützt.
• Schwachstellen oder Manipulationen an ihren Produkten nicht unverzüglich nach Kenntnisnahme beseitigt und dem Betreiber kritischer Anlagen meldet.
• die kritische Komponente auf Grund von Mängeln ein erhöhtes Gefährdungspotenzial aufweist oder aufgewiesen hat oder
• die kritische Komponente über technische Eigenschaften verfügt(e), die spezifisch geeignet sind oder waren, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können.

Telekommunikation

Seit 2021 gibt es im Sektor Telekommunikation formell definierte kritische Komponenten (5G-Netze), definiert durch das TKG und die BNetzA im IT-Sicherheitskatalog.

Energie

Im Energiesektor sind seit Anfang 2025 als Entwurf erstmals kritische Funktionen, die durch kritische Komponenten bereitgestellt werden, definiert (vgl. untenstehende Übersicht).

Die Festlegung kritischer Funktionen für den Betrieb von Energieversorgungsnetzen und Energieanlagen erfolgte im Rahmen der Überarbeitung der IT-Sicherheitskataloge durch die BNetzA im Juni 2025.

Mit dieser Festlegung kommt die BNetzA der Vorgabe des § 11 Abs. 1g S. 1 Nr. 2 EnWG nach und bestimmt eine zweistufige Einführung:

• Zunächst (mit Wirkung zum 25. Dezember 2025) gilt sie für Übertragungsnetzbetreiber hinsichtlich der Funktionen der Netz- und Systemsteuerung (Steuerung, Leittechnik und Netzschutz) von Hochspannungs-Gleichstrom-Übertragungs-(HGÜ)-Verbindungen sowie für Betreiber von Offshore-Windenergieanlagen.
• Ab dem Zeitpunkt des Wegfalls der Anzeigepflicht nach § 9b Abs. 1 S. 1 BSIG gelten die im Katalog kritischer Funktionen genannten Funktionen auch für Betreiber von Energieversorgungsnetzen und Energieanlagen.

Literatur

1. Fragen und Antworten zum Einsatz kritischer Komponenten, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
2. Liste der kritischen Funktionen nach § 109 Abs. 6 TKG für öffentliche Telekommunikations­netze und -dienste mit erhöhtem Gefährdungs­potenzial, Bundesnetzagentur (BNetzA), 18.08.2021
3. Festlegung des Kataloges von Sicherheits­anforderungen, BNetzA Pressemitteilung, 25.08.2021

Quellen

1. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
3. Festlegung kritischer Funktionen, BNetzA, vom 25. Juni 2025