KRITIS-Anlagen im IT-SiG 2.0

KRITIS-Anlagen und Schwellenwerte werden in der KRITIS-Verordnung definiert, die sich mit dem IT-Sicherheitsgesetz 2.0 ändert — hier der Draft vom 26.4. vorläufig analysiert.

Die für die Versorgungssicherheit wichtigten kritischen Dienstleistungen werden nach dem IT-Sicherheitsgesetz durch KRITIS-Betreiber in KRITIS-Anlagen erbracht. Betreibt ein Unternehmen KRITIS-Anlagen und überschreitet dabei in der KRITIS-Verordnung definierte Schwellenwerte, wird das Unternehmen zum KRITIS-Betreiber.

Die Änderungen der Anlagen und Schwellenwerte sind folgend zusammengefasst. Auswirkungen auf KRITIS-Betreiber (+270) schließen sich unter der Tabelle an. ↓

Änderungen

Die Annahmen basierend auf Entwürfen der Verordnung, die teils inkonsistent sind. Anlagen, Schwellenwerte und Schlußfolgerungen ändern sich sicherlich noch, der momentane Stand:

  1. Energie und Strom: Die Schwellenwerte in der Stromerzeugung und Handel sinken deutlich, einige Anlagen zur zentralen Steuerung werden umbenannt und kommen hinzu.
  2. IT: Die Schwellenwerte von Rechenzentren, Cloud (Serverfarmen) und IXP sinken deutlich, Domain-Registries (TLD) kommen als Anlage dazu.
  3. Finanzen und Versicherung: Die bisher mehrfach vorhandenen Anlagentypen pro Versicherungsträger werden vereinfacht, neue kommen im Wertpapierhandel hinzu.
  4. Transport: Für Logistiker sind Sendungen nun auch ein Schwellenwert, bei Häfen, Flughäfen und Fluggesellschaften kommen neue Anlagen in der Leitung hinzu, im Straßenverkehr das Intelligente Verkehrssystem. Einige der qualitativen Schwellenwerte werden angepasst.
  5. ÖPNV: Die Anlage Verkehrssteuerungs- und Leitsystem des ÖPNV wird gestrichen, übrig bleiben ÖSPV-Anlagen — die nach §4 Abs. 1-3 PBefG wohl auch U-Bahnen umfassen. Der Schwellenwert wurde redaktionell angepasst auf Fahrgastfahrten, bleibt sonst gleich.
  6. Gesundheit: Bei Laboren werden die Anlagen Transportsystem und Kommunikations­system für Aufträge/Befunde im Laborinformations­verbund zusammengefasst.
  7. Entsorgung und UNBÖFI: Der neue KRITIS-Sektor Entsorgung fehlt noch im Entwurf, ebenso die Kriterien für die Unternehmen im besonderen öffentlichen Interesse (UNBĂ–FI).

Stand: Entwurf vom 26.4.2021

up

Alle KRITIS-Anlagen 2.0

Die Anlagen und Schwellenwerte der KRITIS-Sektoren im Entwurf von April 2021 — Änderungen und Ergänzungen unterstrichen, Streichungen durchgestrichen.

aus BSI-KritisV 2.0 Stand April 2021, ohne Gewähr
* - Schwellenwerte sind teils gesammelt dargestellt und nicht immer exakt zugeordnet; einzelne Anlagennamen sind gekürzt
Anlagen Schwellenwerte*
Sektor Energie
Erzeugungsanlage
EA m. Wärmeauskopplung
Dez. Erzeugungsanlage
Elektrizitätsspeicheranlage
Steuerung/Bündelung EL
Übertragungsnetz
Stromhandel
Verteilernetz
Messtelle
420 36 MW Leistung

420 36 MW
420 MW
420 MW
3700 GWh
200 3700GWh
3700 GWh
Gasförderanlage
Zentrale Steuerung
Fernleitungsnetz
Gasgrenzübergabestelle
Gasspeicher
Gasverteilernetz
Gashandelssystem
5190 GWh Gas
Ölförderanlage
Raffinerie
Mineralölfernleitung
Öl- und Produktenlager
Aggregatoren Vertrieb Kraftstoff und Heizöl
Tankstellennetz
Kommerzielle Steuerung (Mineralölhandel)
4.4 Mio t Rohöl
420 Tsd t Kraftstoff
63,7 Tsd. t Flugkraftstoff
620 Tsd. t Heizöl
Heizwerk
Heizkraftwerk
Fernwärmenetz
Zentrale Steuerung
2300 GWh Wärmeenergie
250 Tsd. Haushalte
Sektor Wasser
Kanalisation
Kläranlage
Leitzentrale
500 Tsd. Einwohner
Gewinnungsanlage (Wasserwerk)
Aufbereitungsanlage (Wasserwerk)
Wasserverteilungssystem
Leitzentrale
22 Mio. m³ Wasser
Sektor Ernährung
Herstellung von Lebensmitteln
Behandlung von Lebensmitteln
Distribution von Lebensmitteln
Standortübergreifende Steuerung
Bestellung von Lebensmitteln
Inverkehrbringen von Lebensmitteln
434,5 Tsd. t Speisen
350 Mio. l Getränke
Sektor Gesundheit
Krankenhaus 30 Tsd. vollstationäre Fallzahl
Produktionsstätte
Abgabestelle
90,68 Mio. EUR Umsatz
Produktionsstätte
Blut- oder Plasmaspenden­steuerung
Betriebs- und Lagerraum
Vertrieb v. Arzneimitteln (verschreibungspfl.)
Apotheke
4,65 Mio Packungen
34 Tsd./Jahr hergestellte oder in Verkehr gebrachte Produkte
Labor
Laborinformations­verbund
Transportsystem
Kommunikations­system Aufträge/Befunde
1,5 Mio Aufträge
Sektor Transport und Verkehr
Passagierabfertigung an Flugplätzen
Frachtabfertigung an Flugplätzen
Infrastrukturbetrieb eines Flugplatzes
Flugsicherung und Luftverkehrskontrolle
Verkehrszentrale Fluggesellschaft
Flughafenleitungsorgan
20 Mio. Passagiere
750 Tsd. t Güter
17,5 Tsd. Flugbewegungen
Personenbahnhof
Güterbahnhof
Zugbildungsbahnhof
Schienennetz und Stellwerke
Verkehrssteuerungs- und Leitsystem
Leitzentrale
höchste Bahnhofskategorie
23. Tsd Züge
deutsches TEN-V Kernnetz
8,2 Mio Zugkilometer
730 Mio Tonnenkilometer
Betrieb von Bundeswasserstraßen
Verkehrssteuerungs- und Leitsystem
Hafenleitungsorgan
Hafenbetrieb
Umschlaganlage

Leitzentrale Seeschifffahrt
Leitzentrale von Binnenschiffen
17 Mio. t Güterverkehr
17 Mio. t Güterverkehr
50 Mio. t Güter
50 Mio. t Güter
3,27 Mio t Fracht

1,875 Mio. t Fracht
345,5 Mio. Tonnenkilometer
Verkehrssteuerungs- und Leitsystem
Verkehrssteuerungs- und Leitsystem komm. Straßenverkehr
Intelligentes Verkehrssystem
Bundesautobahnen
500. Tsd Einwohner der Stadt
500. Tsd angeschlossene Nutzer
Schienennetz und Stellwerke ÖSPV
Leitzentrale ÖSPV
Verkehrssteuerungs- und Leitsystem ÖPNV
125 Mio. unternehmensbezogene Fahrgastfahrten
Betrieb Logistikzentrum
Logistiksteuerung-/Verwaltung
17 Mio. t Güter oder
51,5 Mio Sendungen
Wettervorhersage, Gezeitenvorhersage, Wasserstandsmeldung
Bodenstation Satelliten­navigations­system
Eingesetzte Anlagen
Gesetzliche Verpflichtung
EU 1285/2013
Sektor IT und TK
Ortsgebundenes Zugangsnetz
Übertragungsnetz
IXP
DNS-Resolver
Autoritative DNS-Server
TLD-Registry
100 Tsd. Teilnehmer
100 Tsd. Teilnehmer
300 100 angeschlossene AS
250 Tsd. Domains
250 Tsd. Domains
250 Tsd. Domains
Rechenzentrum
Serverfarm
Content Delivery Netzwerk
Vertrauensdienste
5 3,5 MW Leistung
25 10 Tsd. Instanzen
75 TB/Jahr Datenvolumen
500 Tsd. qualif. Zertifikate
10 Tsd. Serverzertifikate
Sektor Finanz und
Versicherung
Autorisierungssystem (Geldautomatensystem)
Anbindung Autorisierungssystem
Aufbereitung Geldautomatenbetreiber
Anbindung Interbanken-ZV-System
Clearing-System
Settlement-System
Kontoführungssystem
Cash-Center
IT-System Cash Management
15 Mio Transaktionen oder
18 Mio Transaktionen oder
93,5 Mio bearbeitete Banknoten
– unterschiedlich pro Anlage
Autorisierungssystem (kartengestützter ZV)
Anbindung Autorisierungssystem
Aufbereitung POS-Terminalbetreiber
Annahme POS-Transaktionsdaten
Anbindung Interbanken-ZV-System
Clearing-System
Settlement-System
Kontoführungssystem
21,5 Mio Transaktionen
18 Mio Transaktionen
– unterschiedlich pro Anlage
Annahme Überweisung, Lastschrift
Anbindung Interbanken-ZV-System
Clearing-System
Settlement-System
Kontoführungssystem
100 Mio Transaktionen
Clearingstelle/zentrale Gegenpartei zur Verrechnung Wertpapier/Derivate
Anbindung für Verrechnung und Verbuchung
Wertpapier-Settlement-System
Depotführungssystem
Zentralverwahrer
Aufbereitung Zahlungsanweisung
Erzeugen von Aufträgen zum Handel
Handelsplatz
Sonst. Depotführung
850 Tsd. Transaktionen
Vertragsverwaltungssystem
Leistungssystem
Schadensssystem
Auszahlungssystem

Verwaltungs- und Zahlungssystem GKV/PV
Lebensversicherung: Vertragsverwaltungssystem, Leistungssystem, Auszahlungssystem
Private Krankenversicherung: Vertragsverwaltungssystem, Leistungssystem, Auszahlungssystem
Kompositversicherung: Vertragsverwaltungssystem, Schadensssystem, Auszahlungssystem
Sozialversicherungsträger: Leistungssystem, Auszahlungssystem
Gesetzliche Kranken- und Pflegeversicherung:
500 Tsd. LV Leistungsfälle oder
500 Tsd. Schadensfälle oder
2 Mio PKV Leistungsfälle
–"–
3 Mio GKV/PV Versicherte
Sektor Entsorgung
Noch nicht definiert Noch nicht definiert
UNBÖFI
Rüstung
Volkswirtschaftliche Bedeutung
Gefahrstoffe (Chemie)
Noch nicht definiert

up

Auswirkungen

Die Auswirkungen der neuen Schwellenwerte und Anlagen auf die Wirtschaft — der Entwurf der Verordnung schätzt 270 zusätzliche Betreiber neben den bisherigen etwa 1.600:

  1. Energie: 151 Betreiber in der Stromerzeugung dazu 12 bei Gas, 4 bei Mineralöl.
  2. Gesundheit: keine Zahlen im Entwurf.
  3. Transport: 6 neue Betreiber im Luftverkehr, 32 in der Schiffahrt, 34 im Straßenverkehr (Intelligentes Verkehrssystem). Keine Änderungen im ÖPNV.
  4. IT und TK: 3 neue IXPs, 7 neue RZ-Betreiber.
  5. Finanz- und Versicherungen: 21 neue Betreiber im Handel.

Weitere Informationen

Literatur

  1. IT-Sicherheitsgesetz: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht, Beck-Community, 27.4.2021

Quellen

  1. Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 26.4.2021
  2. Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 26.4.2021
  3. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  4. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015