KRITIS-Gesetz­gebung

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme wurde 2015 in Kraft gesetzt und ist der Grundstein der Regulierung für Kritische Infrastrukturen (KRITIS). Das IT-Sicherheitsgesetz regelt mit dem BSI-Gesetz die Sicherheit Kritischer Infrastrukturen und legt Pflichten und Aufgaben von Betreiber und Staat fest.

Betreiber Kritischer Infrastrukturen in Deutschland sind zum Schutz der Sicherheit und Verfügbarkeit der kritischen IT-Systeme in ihren KRITIS-Anlagen verpflichtet, um die Versorgungssicherheit in Deutschland zu gewährleisten. Die KRITIS-Regulierung besteht aus mehreren, miteinander verwobenen Gesetzen und Verordnungen.

2.0 Seit 2021 ist das neue IT-Sicherheitsgesetz 2.0 mit mehr Sektoren und Pflichten in Kraft, die neue KRITIS-Verordnung 2.0 erweitert die KRITIS-Anlagen und Schwellenwerte.

IT-Sicherheitsgesetz (IT-SiG)

Der Kern der Gesetzgebung zu Kritischen Infrastrukturen ist das IT-Sicherheitsgesetz, IT-SiG, von 2015, das Ende Mai 2021 durch das neue IT-Sicherheitsgesetz 2.0 erweitert wurde. Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ändert als Artikel- bzw. Änderungsgesetz bestehende Gesetze zum Schutz Kritischer Infrastrukturen:

eigene Zusammenstellung IT-SiG Änderungen
Gesetz Kurzform Änderung
BSI-Gesetz BSIG
  • Rechte und Pflichten des BSI gegenüber KRITIS-Betreibern
  • Definitionen zu KRITIS wie Sektoren, Mindeststandards
  • Anforderungen und Pflichten von KRITIS-Betreibern
Energiewirtschaftsgesetz EnWG
  • Meldewesen an das BSI
  • Mindeststandards und Sicherheitsanforderungen Betreiber
Telekommunikationsgesetz TKG
  • Meldewesen an das BSI
  • Mindeststandards und Sicherheitsanforderungen Anbieter
Atomgesetz AtG
  • Meldewesen an das BSI
Telemediengesetz TMG
  • Anforderungen und Pflichten von Diensteanbietern
BKA-Gesetz BKAG
  • Befugnisse in der Strafverfolgung
Weitere BBesG
BGebGEG
  • diverses

In Artikeln 1 bis 9 enhält das IT-Sicherheitsgesetz die Änderungen an den oben genannten Gesetzen. Artikel 10 legt eine Evaluierung einzelner Teile des Gesetzes vier Jahre nach Inkrafttreten der Rechtsverordnung fest. Artikel 11 beschreibt das Inkrafttreten am Tag nach der Verkündung, die am 24. Juli 2015 stattfand.

Das neue IT-Sicherheitsgesetz 2.0 von 2021 ändert die Gesetze nochmals um stärkere KRITIS-Pflichten und mehr Betroffenheit und wird auf einer eigenen Seite separat erklärt.

Das IT-SiG Gesetz wird durch eine Rechtsverordnung konkretisiert — die KRITIS-Verordnung mit Festlegungen zu Sektoren, Schwellenwerten und Anlagen, ursprünglich von 2016/2017.

Das neue KRITIS-Verordnung 2.0 von 2021 erweitert die KRITIS-Schwellenwerte und Anlagen teilweise deutlich und wird ebenfalls separat beschrieben.

up

BSI-Gesetz (BSIG)

Das wichtigste Gesetz in der KRITIS-Regulierung ist das BSI-Gesetz, das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, kurz BSIG. Das BSIG legt die zentralen Pflichten und Aufgaben der Akteure in der KRITIS-Regulierung in einzelnen Paragraphen § fest. Das BSIG (BSIG-E) wird durch das IT-Sicherheitsgesetz 2.0 von 2021 nochmals erweitert, hier mit § vermerkt.

KRITIS-Betreiber

§8a legt die Anforderungen an KRITIS-Betreiber zur Sicherheit in ihren KRITIS-Anlagen fest und ist der zentrale Bezugspunkt für Sicherheitsmaßnahmen in der KRITIS-Gesetzgebung.

§8a (1) fordert angemessene technische und organisatorische Sicherheitsmaßnahmen in KRITIS-Anlagen nach Stand der Technik, §8a (1a) zählt explizit Angriffserkennung daxu, §8a (2) beschreibt mögliche branchenspezifische Sicherheitsstandards (B3S), §8a (3) die Nachweisprüfungen bei Betreibern und Übermittlung von Informationen an das BSI.

§8b definiert das BSI als zentrale Meldestelle für KRITIS-Betreiber.

§8b (3) legt die unmittelbare Registrierung als KRITIS-Betreiber und Einrichtung einer Kontaktstelle für den Austausch mit dem BSI fest, §8b (3a) berechtigt das BSI zu Einsicht in Unterlagen. §8b (4) definiert die durch KRITIS-Betreiber meldepflichtigen Störungen, §8b (4a) die Übermittlung von Störungs-Informationen an das BSI. §8b (5) erlaubt Betreibern gemeinsame Kontaktstellen in Sektoren.

§8c beschreibt Vorgaben für Anbieter digitaler Dienste im Sinne der NIS-Direktive der EU — mit Sicherheitsmaßnahmen, Meldepflichten und Austausch zwischen Behörden.

§8d spezifiziert den genauen Anwendungsbereich der §§8a bis 8c durch Ausschlüsse von bereits regulierten Unternehmen und Kleinstunternehmen aus einzelnen Paragraphen.

§9b regelt den Einsatz und Meldepflicht von kritischen Komponenten in KRITIS-Anlagen.

Unternehmen im besonderen öffentlichen Interesse

§8f definiert die Cyber Security Pflichten der Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) und deren Zulieferer.

KRITIS-Prüfer

Die normativen Anforderungen für Prüfer ergeben sich ebenfalls aus §8a:

§8a (3) definiert die grundlegenden Pflichten, Zyklen und Anforderungen an Nachweise der Prüfungen, §8a (5) gibt dem BSI das Recht, für die Prüfungen Anforderungen festzulegen.

§8a (4) beschreibt die Tiefenprüfungen, die das BSI oder von ihm beauftragte Dritte bei KRITIS-Betreibern durchführen darf, um die Anforderungen aus §8a (1) zu überprüfen.

Das BSI und der Bund

§3 beschreibt die weitgehenden Aufgaben im öffentlichen Interesse des BSI, von der Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes bis zur Unterstützung und Beratung von KRITIS-Betreibern.

§4 legt das BSI als zentrale Meldestelle für Bundesbehörden, §4b als zentrale allgemeine Meldestelle für Sicherheit in der IT, §8b als zentrale Meldestelle für KRITIS-Betreiber für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.

§5 und §5a legen die sehr umfangreichen Aufgaben, Pflichten und Rechte des BSI bei der Abwehr von Gefahren für die Kommunikationstechnik des Bundes und der Wiederherstellung der Sicherheit fest, mit §5c Einsicht in Bestandsdaten von TK-Diensten.

§7 und §7a spezifieren die Aufgaben des BSI bei der Warnungen der Öffentlichkeit und betroffenen Kreise bei Sicherheitslücken, Schadprogrammen oder Datenverlust, und das Recht, IT-Produkte und Systeme auf dem Markt zu untersuchen.

§7a definiert Untersuchungen durch das BSI von IT-Produkten und Systemen, §7b Portscans durch das BSI an den Schnittstellen öffentlich erreichbarer IT-Systeme, §7c Anordnungen des BSI zur Störungsbeseitigung, §7d Anordnungen zur Abwehr konkreter, erheblicher Gefahren an Telemedien-Anbieter.

§8 definiert die Aufgabe vom BSI zum Erarbeiten von Mindeststandards für die IT-Sicherheit des Bundes und von technischen Richtlinien. Das Innenministerium kann die Mindeststandards als Verwaltungsvorschriften für den Bund erlassen; das BSI kann Behörden bei der Umsetzung beraten. §9 legt das BSI als nationale Zertifizierungsstelle für IT-Sicherheit im Bund fest.

§13 definiert das Berichtswesen vom BSI an das Innenministerium über seine Tätigkeiten und den Austausch KRITIS-relevanter Informationen in der EU und mit der Kommission.

§14 definiert vorsätzliche oder fahrlässige Verstösse gegen die KRITIS-Vorgaben in §8a-c als Ordnungswidrigkeit und legt dafür Bußgelder zwischen 50 und 100 Tsd. EUR, im neuen IT-SiG 2.0 bis 20 Mio. EUR fest.

Betroffenheit

§2 (10) definiert die Kritischen Infrastrukturen und aktuell gültigen KRITIS-Sektoren — und verweist dazu auf die KRITIS-Verordnung. §2 (14) definiert die drei Gruppen der Unternehmen im besonderen öffentlichen Interesse (UNBÖFI).

Definitionen

§1 und §2 definieren Begriffe von Informationstechnik bis Anbieter digitaler Dienste.

§3a, §6 bis §6f betreffen personenbezogene Daten und das BSI.

In §11 wird die Einschränkung des Fernmeldegeheimnisses (Artikel 10 Grundgesetz) beschrieben, durch wird das Fernmeldegeheimnis nun durch §4a, §5, §5a, §5b, §5c, §7b und §7 eingeschränkt — vormals nur §§5 und 5a.

up

KRITIS-Verordnung (KritisV)

Die KRITIS-Verordnung, kurz KritisV, von 2016 konkretisiert die Umsetzung des BSI-Gesetzes bei KRITIS-Betreibern und wurde nach dem IT-Sicherheitsgesetz verabschiedet. Sie wurde im Zuge des IT-Sicherheitsgesetzes 2.0 in 2021 ebenfalls zur KRITIS-Verordnung 2.0 überarbeitet.

Definitionen

Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz legt die zur Umsetzung vom BSIG notwendigen KRITIS-Definitionen und Sachverhalte fest.

KRITIS-Sektoren

Die KRITIS-Sektoren sind in §2 (10) BSIG definiert und werden durch die KritisV einzeln in §2 (Energie) bis §8 (Transport und Verkehr) beschrieben.

Kritische Dienstleistungen

Diese sind in §1 als Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren nach den §§ 2 bis 8, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde definiert. Die kritischen Dienstleistungen (kDL) sind pro Sektor in §§2-8 jeweils in Absatz (1) aufgezählt.

KRITIS-Anlagen

Anlagen sind in sind in §1 definiert als

a) Betriebsstätten und sonstige ortsfeste Einrichtungen, die für die Erbringung einer kritischen Dienstleistung notwendig sind.
b) Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen, die für die Erbringung einer kritischen Dienstleistung notwendig sind.

Neu ist in 2021 §1 (c)

c) Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind,

Die einzelnen Sektoren in §§2-8 haben in der KritisV jeweils einen Anhang 1-7, in denen in Teil 1 die einzelnen Anlagen pro Sektor definiert und beschrieben werden.

Schwellenwerte

Die Schwellenwerte werden in §1 definiert als

ein Wert, bei dessen Erreichen oder dessen Überschreitung der Versorgungsgrad einer Anlage oder Teilen davon als bedeutend im Sinne von § 10 Absatz 1 Satz 1 des BSI-Gesetzes anzusehen ist.

Die einzelnen Schwellenwerte der Anlagen werden pro Sektor in Anhang 1-7 jeweils in Teil 2 hergeleitet. In Teil 3 werden alle Schwellenwerte und Anlagen im Sektor aufgelistet.

Fristen

Die Fristen zum Überschreiten von Schwellenwerten als Kritische Infrastruktur sind ebenfalls pro Sektor in Anhang 1-7 jeweils in Teil 1 definiert.

KRITIS-Verordnung 2.0

2.0 KRITIS-Anlagen und Schwellenwerte ändern sich mit dem IT-Sicherheitsgesetz 2.0 — ein separater KRITIS-Anlagen 2.0 Artikel analysiert die Änderungen aus der KritisV 2.0 von 2021.

up

Weitere Gesetze

Das IT-Sicherheitsgesetz ändert weitere Gesetze für bereits regulierte Betreiber:

Energiewirtschaftsgesetz (EnWG): Am EnWG wurden durch das IT-Sicherheitsgesetz 1.0 verschiedene Regelungen für Betreiber von Energieanlagen und Energieversorungsnetzen angepasst und Neuregelungen eingefügt, speziell in §11 EnWG.

Atomgesetz (ATG):Für Betreiber kerntechnischer Anlagen mit §44b ATG Regelungen zur Meldepflicht für Sicherheit in der IT an das BSI aufgenommen.

Telekommunikationsgesetz (TKG): Diverse Änderungen an §100, §109 und §109a TKG für Maßnahmen und Meldepflichten von Telekommunikationsanbietern an die BNetzA.

Telemediengesetz (TMG): Anpassungen für Diensteanbieter zu Sicherheitsmaßnahmen §13.

Sonstiges: Es gab weiterhin Änderungen am Bundesbesoldungsgesetz zur Einordung des BSI-Präsidenten, am BKA-Gesetz für weitere Befugnisse in der Strafverfolgung und am Gesetz zur Strukturreform des Gebührenrechts des Bundes für BSI-Gebühren.

up

Weitere Informationen

Quellen

  1. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  2. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
  3. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  4. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist