KRITIS-Behörden

Im Kontext der KRITIS-Regulierung spielen eine Vielzahl von Bundesbehörden seit dem IT-Sicherheitsgesetz von 2015 eine Rolle. Die wichtigsten Behörden für KRITIS-Betreiber sind das Bundesamt für Sicherheit in der Informationstechnik und das Innenministerium, neben sektorspezifischen Aufsichtsbehörden und bestehender Regulierung.

Neben den nationalen Behörden reguliert die europäische ENISA (European Union Agency for Cybersecurity) auf EU-Ebene Themen rund um Cyber Security.

Zentrale KRITIS-Behörden

Bundesinnen­ministerium

Das Innenministerium (BMI) ist auf Bundesebene das federführende Ressort für den Schutz Kritischer Infrastrukturen und verantwortlich für die Gesetzgebung und Regulierung zu KRITIS. Das erste und zweite IT-Sicherheitsgesetz stammen aus der Feder des BMI — für die Regulierung und operativen Aufgaben untersteht ihm das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Nicht alle regulierten KRITIS-Sektoren und Betreiber fallen in die direkte Zuständigkeit des BMI — einige Betreiber unterliegen zusätzlich zum IT-Sicherheitsgesetz noch bisheriger Regulierung durch BNetzA (Wirtschaftsministerium), BaFin (Finanzministerium) und weitere.

Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Stelle für die Sicherheit Kritischer Infrastrukturen in Deutschland und wichtigste KRITIS-Behörde.

Im BSI ist der Fachbereich WG 1 für die Cyber Security in Kritischen Infrastrukturen zuständig mit insgesamt füf Referaten WG 11 bis WG 15. Die KRITIS-Referate, Anfang der 2010er noch ein einzelnes Referat, sind aufgeteilt in drei Sektor-, ein Grundsatz- und ein Prüfungsreferat.

Die KRITIS-Verantwortlichkeiten des BSI sind in §8a und §3 BSIG definiert und mit dem IT-Sicherheitsgesetz 1.0 von 2015 deutlich gewachsen:

  1. Zentrale Meldestelle für Betreiber Kritischen Infrastrukturen
  2. Zentrales Lagebild für die IT-Sicherheit Kritischer Infrastrukturen
  3. Warnungen an KRITIS-Betreiber und Behörden zur Abwehr von Gefahren
  4. Registrierungen von KRITIS-Betreibern und KRITIS-Anlagen
  5. Abnahme der Unterlagen der KRITIS-Nachweisprüfungen
  6. Berichtswesen zu Kritischen Infrastrukturen an das BMI und innerhalb der EU
  7. Verwaltungsbehörde für Bußgelder bei Verstößen gegen KRITIS BSIG-Anforderungen

Die Aufgaben und Rechte vom BSI nehmen mit dem IT-Sicherheitsgesetz 2.0 von 2021 nochmal zu — in den letzten Gesetzesentwürfen mit einem Wachstum von 799 Planstellen.

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in Bonn ist ebenfalls in den Schutz Kritischer Infrastrukturen eingebunden. Im BBK beschäftigen sich die Referate II.3 und II.4 mit KRITIS-Themen — u.a. KRITIS-Strategien, Zusammenarbeit von Bund, Ländern und EU, KRITIS-Sektoren, Schutzkonzepte und Risikomanagement.

Das BBK ist darüberhinaus in vielen Forschungsprojekten, methodischen Entwicklungen und Publikationen zum Schutz Kritischer Infrastrukturen tätig.

up

Weitere Aufsichtsbehörden

Bundesnetzagentur

Die Bundesnetzagentur (BNetzA) ist im Ressort des Wirtschaftsministerium verantwortlich für die Regulierung von Infrastrukturen und deren Betreibern — darunter auch KRITIS-Betreiber aus den Sektoren Telekommunikation, Energie und Transport.

Die BNetzA ist zuständig für Sicherheitsanforderungen aus u.a. TKG und EnWG für Sicherheit in Infrastrukturen, Anlagen und Diensten. Für bestimmte KRITIS-Sektoren gibt es doppelte Pflichten und teilweise abweichende Berichtswege neben dem BSI zur BNetzA:

Betreiber in den Sektoren Energie und Telekommunikation müssen sich, je nach Anlagen und Dienst, bei der BNetzA registrieren, Vorfälle melden und den Sicherheitskatalog (Energie) bzw. ein Sicherheitskonzept (Telekommunikation) umsetzen.

Bundesanstalt für Finanz­dienstleistungs­aufsicht

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) teilt sich mit dem BSI die Aufsicht von KRITIS-Betreibern aus dem Finanz- und Versicherungssektor — Banken, Versicherungen und ihren Dienstleistern. Betreiber im Sektor unterliegen neben dem BSIG teilweise dem KWG, dem ZAG, SSM-Verordnung und der Regulierung der Europäischen Zentralbank (EZB).

Für die Belange dieser Betreiber gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Kritische Infrastrukturen. Dies soll Doppelbelastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.

up

Weitere Informationen

Literatur

  1. Das BSI - Auftrag, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
  2. Das BSI - Kurzprofil, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
  3. Die Lage der IT-Sicherheit in Deutschland, Bundesamt für Sicherheit in der Informationstechnik, jährlich
  4. BSI-Magazin Mit Sicherheit, Bundesamt für Sicherheit in der Informationstechnik, halbjährlich

Quellen

  1. Abteilung WG - Cyber-Sicherheit für Wirtschaft und Gesellschaft, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
  2. Aufgaben - Kritische Infrastrukturen, Webseite des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe, o.D.
  3. Organisationsplan, Bundesamt für Sicherheit in der Informationstechnik, 1. August 2020
  4. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  5. Telekommunikation - Katalog von Sicherheitsanforderungen, Bundesnetzagentur, Version 2.0, 29.04.2020
  6. IT-Sicherheit im Energiesektor für Strom/Gas und Energieanlagen, Bundesnetzagentur, August 2015 und Dezember 2018
  7. Aufsicht über Kritische Infrastrukturen im Finanzwesen - ein Überblick über den Status quo, BaFinPerspektiven 1 | 2020, Bundesanstalt für Finanzdienstleistungsaufsicht, Mai 2020