Kritische Infrastrukturen

Die KRITIS-Regulierung verpflichtet Betreiber Kritischer Infrastrukturen in Deutschland mit dem IT-Sicherheitsgesetz zu Cyber Security in ihrer KRITIS-Anlagen. Damit soll die Versorgungssicherheit der Gesellschaft und Wirtschaft in den KRITIS-Sektoren in Deutschland durch Cyber Security gewähr­leistet werden.

Die KRITIS-Regulierung wurde 2021 mit dem IT-Sicherheitsgesetz 2.0 und der KRITIS-Verordnung 2021 deutlich erweitert und wird in Europa durch EU NIS2/EU RCE und ab 2022 mit der KRITIS-Verordnung 2.0 und UBI-VO fortgeschrieben.

Wer ist betroffen?

Sektoren

Die KRITIS-Regulierung definiert acht KRITIS-Sektoren in der deutschen Wirtschaft, in denen KRITIS-Betreiber kritische Dienstleistungen (kDL) zur Versorgung der Allgemeinheit erbringen:

Kategorie Sektoren
Grundversorgung Energie, Wasser, Ernährung, Gesundheit
Versorgung Transport und Verkehr, Entsorgung 2.0
Dienstleistungen IT und TK, Finanzen und Versicherungen

Anlagen — Kritische Infrastrukturen

Die kritischen Dienstleistungen werden bei Betreibern in KRITIS Anlagen erbracht, die in der KritisV definiert sind. Die Anlagen dienen Betreibern zur Identifikation der eigenen KRITIS-Betroffenheit und der Festlegung des Geltungsbereichs im Unternehmen. Betreiber müssen KRITIS-Anlagen selbst erkennen und sich als Kritische Infrastruktur registrieren.

Durch das IT-Sicherheitsgesetz 2.0 ändern sich ab 2021 KRITIS-Anlagen und Schwellenwerte.

Betreiber

Überschreitet ein Betreiber mit seinen KRITIS-Anlagen definierte Schwellenwerte der KRITIS-Verordnung, wird er mit diesen zur Kritischen Infrastruktur und selbst zum KRITIS-Betreiber. Damit hat er dann Pflichten wie Sicherheitsmaßnahmen, Vorfallsmeldungen und Prüfungen.

Unternehmen

2.0 Bestimmte Teile der deutschen Wirtschaft fallen als Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI) unter Teile des neuen IT-Sicherheitsgesetzes 2.0. Die Unternehmen werden durch ihre Wirtschaftsleistung und produzierte Güter bestimmt.

up

Regulierung

Gesetze und Verordnungen

Die KRITIS-Regulierung in Deutschland beruht seit 2015 auf dem IT-Sicherheitsgesetz (IT-SiG) und der KRITIS-Verordnung (KritisV), die den grundlegenden Rahmen für KRITIS stellen. Als Artikelgesetz ändert das IT-SiG bestehende Gesetze, das wichtigste ist das BSI-Gesetz (BSIG), das Pflichten und Aufgaben vom BSI und den Betreibern Kritischer Infrastrukturen festlegt.

Die KRITIS-Regulierung und Gesetze wurden 2021 deutlich überarbeitet, mit weiteren Änderungen ab 2022 in Deutschland und der EU.

IT-Sicherheitsgesetz 2.0

Das IT-Sicherheitsgesetz wurde seit 2015 beständig weiterentwickelt — das aktuelle IT-SiG 2.0 wurde vom Bundestag im April 2021 beschlossen. Das IT-SiG 2.0 erweitert die Befugnisse des BSI, den Kreis betroffener Unternehmen, deren Pflichten sowie staatliche Sanktionen deutlich.

Das IT-SiG 2.0 ist im Mai 2021 in Kraft getreten, die neue KRITIS-Verordnung 2021 wurde im August 2021 beschlossen und vergrößert die Zahl der KRITIS-Betreiber um mindestens 270. Es folgen 2022/2023 noch eine weitere KRITIS-Verordnung 2.0 und UBI-Verordnung.

Der europäische Rahmen

Die deutsche KRITIS-Regulierung ist durch die EU NIS-Direktive in einen europäischen Kontext gebettet. Die Directive on Security of Network and Information Systems von 2016 war das erste EU-weite Gesetz über Cyber Security. Die überarbeitete EU NIS2 Direktive erweitert die Sektoren in der EU deutlich, ebenso Cyber Security Pflichten und die Aufsicht in der EU.

Neben NIS spielt die EU RCE Direktive eine wichtige Rolle für Kritische Infrastrukturen in der EU. Die Directive on the resilience of critical entities reguliert speziell Anforderungen an die Betreiber Kritischer Infrastrukturen in der EU.

Behörden

Die wichtigsten Behörden für KRITIS sind in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Aufsichtsbehörde und das Bundesinnenministerium (BMI) als federführendes Ressort. Der Staat verfügt über verschiedene Sanktionsmöglichkeiten gegenüber KRITIS-Betreibern, die mit dem neuen IT-Sicherheitsgesetz 2.0 anwachsen.

up

Weitere Informationen

Bibliothek

Eine Vielzahl an Dokumenten wurde seit Mitte der 2000er von der öffentlichen Verwaltung zum Thema Kritische Infrastrukturen publiziert — die KRITIS-Bibliothek listet einige der relevanten Studien, Strategien, Leitfäden und Gesetzestexte auf.

Zielgenaue OpenKRITIS-Briefings beschreiben einzelne Themen der KRITIS-Regulierung zusammen­gefasst auf wenigen Folien — IT-Sicherheitsgesetz, EU NIS2 und RCE.

Quellen

  1. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  2. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist