Kritische Infrastrukturen

Die KRITIS-Regulierung verpflichtet Betreiber Kritischer Infrastrukturen in Deutschland mit dem IT-Sicherheitsgesetz zu Cyber Security in ihrer KRITIS-Anlagen. Damit soll die Versorgungssicherheit der Gesellschaft und Wirtschaft in den KRITIS-Sektoren gewähr­leistet werden. 2.0 Die KRITIS-Regulierung wird 2021 mit dem IT-Sicherheitsgesetz 2.0, der KRITIS-Verordnung 2.0 und EU NIS2/RCE deutlich erweitert.

Wer ist betroffen?

Unternehmen, die kritische Dienstleistungen in eigenen Anlagen erbringen und dabei Schwellenwerte überschreiten, sind KRITIS-Betreibern, die ihre Infrastrukturen schützen müssen. 2.0 Mit dem neuen IT-Sicherheitsgesetz 2.0 gehören auch Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI) zur Regulierung mit eigenen Rechtsfolgen.

Sektoren

Der Kern der KRITIS-Regulierung sind definierte KRITIS-Sektoren in der deutschen Wirtschaft, in denen KRITIS-Betreiber kritische Dienstleistungen erbringen:

Kategorie Sektoren
Grundversorgung Energie, Wasser, Ernährung, Gesundheit
Versorgung Transport und Verkehr, Entsorgung 2.0
Dienstleistungen IT und TK, Finanzen und Versicherungen

Anlagen — Kritische Infrastrukturen

Die kritischen Dienstleistungen werden bei Betreibern in KRITIS Anlagen erbracht, die in der KritisV definiert sind. Die Anlagen dienen Betreibern zur Identifikation der eigenen KRITIS-Betroffenheit und später der Festlegung des Geltungsbereichs im Unternehmen. Betreiber müssen Anlagen selbst als Kritische Infrastruktur erkennen und registrieren.

2.0 Im IT-Sicherheitsgesetz 2.0 ändern sich die KRITIS-Anlagen und Schwellenwerte.

Betreiber

Überschreitet ein Betreiber mit seinen KRITIS-Anlagen definierte Schwellenwerte der KRITIS-Verordnung, wird er mit diesen zur Kritischen Infrastruktur und selbst zum KRITIS-Betreiber. Damit hat er dann Pflichten wie Sicherheitsmaßnahmen, Vorfallsmeldungen und Prüfungen.

Unternehmen

2.0 Bestimmte Teile der deutschen Wirtschaft fallen als Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI) unter Teile des neuen IT-Sicherheitsgesetzes 2.0. Die Unternehmen werden durch ihre Wirtschaftsleistung und produzierte Güter bestimmt.

up

Regulierung

Gesetze und Verordnungen

Die KRITIS-Regulierung in Deutschland beruht seit 2015 auf dem IT-Sicherheitsgesetz (IT-SiG) und der KRITIS-Verordnung (KritisV), die den grundlegenden Rahmen für alle KRITIS-Akteure festlegen. Als Artikelgesetz ändert das IT-SiG bereits bestehende Gesetze — das wichtigste davon das BSI-Gesetz (BSIG), das die zentralen Pflichten und Aufgaben vom BSI und den Betreibern Kritischer Infrastrukturen, den KRITIS-Betreibern, festlegt.

IT-Sicherheitsgesetz 2.0

2.0 Das IT-Sicherheitsgesetz wird seit der ersten Version 2015 beständig von der Regierung weiterentwickelt. Die neueste Version ist das IT-Sicherheitsgesetz 2.0, IT-SiG 2.0, das vom Bundestag im April 2021 beschlossen wurde. Das IT-SiG 2.0 erweitert die Befugnisse des BSI, den Kreis der betroffenen Unternehmen, deren Pflichten sowie staatliche Sanktionen deutlich.

Das IT-SiG 2.0 ist im Mai 2021 in Kraft getreten, die neue KRITIS-Verordnung 2.0 wurde im August 2021 beschlossen und vergrößert die Zahl der KRITIS-Betreiber um mindestens 270.

Der europäische Rahmen

Die deutsche KRITIS-Regulierung ist durch die EU NIS-Direktive in einen europäischen Kontext gebettet. Die Directive on Security of Network and Information Systems von 2016 war das erste EU-weite Gesetz über Cyber Security. Die überarbeitete EU NIS2 Direktive erweitert die Sektoren in der EU deutlich, ebenso Cyber Security Pflichten und die Aufsicht in der EU.

Neben NIS spielt die EU RCE Direktive eine wichtige Rolle für Kritische Infrastrukturen in der EU. Die Directive on the resilience of critical entities reguliert speziell Anforderungen an die Betreiber Kritischer Infrastrukturen in der EU.

Behörden

Die wichtigsten Behörden für KRITIS sind in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Aufsichtsbehörde und das Bundesinnenministerium (BMI) als federführendes Ressort. Der Staat verfügt über verschiedene Sanktionsmöglichkeiten gegenüber KRITIS-Betreibern, die mit dem neuen IT-Sicherheitsgesetz 2.0 anwachsen.

up

Weitere Informationen

Bibliothek

Eine Vielzahl an Dokumenten wurde seit Mitte der 2000er von der öffentlichen Verwaltung zum Thema Kritische Infrastrukturen publiziert — die KRITIS-Bibliothek listet einige der relevanten Studien, Strategien, Leitfäden und Gesetzestexte auf.

Zielgenaue Briefing Kits beschreiben einzelne Themen der KRITIS-Regulierung zusammen­gefasst auf wenigen Folien — IT-Sicherheitsgesetz, EU NIS2 und RCE.

Quellen

  1. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  2. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist