KRITIS-Dachgesetz
Die deutsche KRITIS-Regulierung ist nach dem IT-Sicherheitsgesetz 2.0 weiter in Entwicklung. Nach aktuellen Vorfällen und der politischen Lage in 2022 arbeitet das Innenministerium an einem KRITIS-Dachgesetz, das ab 2023 Anforderungen zu Resilienz und physischer Sicherheit an Kritische Infrastrukturen konkretisieren soll und Teile kommender EU-Regulierungen wie EU RCE/CER vorwegnimmt.
Entwicklungen und Änderungen der deutschen KRITIS-Regulierung ab 2023:
- Dachgesetz KRITIS: Resilienz-Anforderungen für Kritische Infrastrukturen
- IT-Sicherheitsgesetz 3.0 und NIS 2: Umsetzung von EU NIS 2 in Deutschland
- Neue Rechtsverordnungen: Änderungen zu KRITIS Entsorgung und UBI Gruppe 2
- Roadmap: Der Weg der kommende Gesetzgebung in Deutschland ab 2022/23
Die neue EU NIS 2 Richtlinie muss wie EU CER bis Oktober 2024 in nationales Recht überführt werden – zusammen mit weiteren Neuerungen möglicherweise als IT-Sicherheitsgesetz 3.0.
Die Ausführungen auf dieser Seite beruhen auf Presseberichten, Eckpunkte-Papiern
, eigenen Einschätzungen und teils auch Annahmen.
DE KRITIS Betreiber und nun? EU NIS2, CER und KRITIS-Dachgesetz
Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2023
Deutsch ∙ PDF ∙ März 2023 ∙ OpenKRITIS-Briefing
Dachgesetz Kritische Infrastrukturen
Aktueller Stand
Das KRITIS-Dachgesetz wird seit Ende 2022 öffentlich diskutiert, und soll die physische Sicherheit und Resilienz von KRITIS-Betreibern stärken. Das Innenministerium hat im Dezember 2022 ein Eckpunkte-Papier veröffentlicht und will einen Gesetzesentwurf bis zur Sommerpause 2023 vorlegen. Das Dachgesetz bezieht sich auf die 2022 verabschiedete EU CER-Richtlinie (EU 2022/2557) und greift dieser teilweise vor.
Scope
Die vom Dachgesetz abgedeckten Unternehmen umfassen kritische Einrichtungen (Critical Entities) in mindestens
folgenden Sektoren, die über die bisherigen KRITIS-Sektoren etwas hinausgehen und sich an EU RCE (CER) orientieren – und bisherige KRITIS-Betreiber sicherlich auch umfassen, plus weitere.
Kategorie | Sektoren |
---|---|
KRITIS-Dach | Energie, Verkehr, Banken, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Ernährung Digitale Infrastruktur*, Öffentliche Verwaltung*, Raumfahrt* Medien und Kultur*✝ Bildung und Betreuung** |
Bei der Identifikation sollen quantitative als auch qualitative Kriterien
genutzt werden, wie Zahl der Nutzer aber auch die Bedeutung der Kritischen Infrastruktur
für den Betrieb von Dienstleistungen.
Betreiber mit spezieller europäischer Relevanz, die in sechs oder mehr Mitgliedstaaten der Europäischen Union dieselben oder ähnliche kritische Dienstleistungen erbringen
sollen identifiziert und einer stärkeren Aufsicht unterliegen.
Resilienz bei Betreibern
Schwerpunkte der neuen KRITIS-Schutzmaßnahmen sollen physische Sicherheit und Resilienz sein, folgende Anforderungen für Betreiber sind im Gespräch und sollen die bisherigen Cyber Security Vorgaben ergänzen
:
- Einheitliche Mindestvorgaben für alle Sektoren Kritischer Infrastrukturen
- Verpflichtende Schutzstandards für physische Sicherheit
- "Technische, personelle und organisatorische Maßnahmen" für Sicherheit und Resilienz
- Krisen-Management und Risiko-Management zum Schutz des Betriebs
- Risiko-Analyse und -Bewertung der kritischen Dienstleistungen (essential services)
- Resilienzpläne zur Krisenvorsorge und Prävention
- Meldewesen für Störungen an das BBK, parallel zu Cyber Security Meldungen ans BSI
Neben diskutierten Zäunen und Sperren, Zugangskontrollen, Sicherheitsüberprüfungen, aber auch die Diversifizierung von Lieferketten und das Vorhalten von Redundanzen
ist die konkrete Ausgestaltung der Anforderungen an Betreiber noch abzuwarten – EU RCE/CER selbst fordert viel BCM, Risiko-Management und Krisenvorsorge von Unternehmen.
Das Eckpunkte-Papier spricht von einer Abwägung von Wirtschaftlichkeit und Eintrittswahrscheinlichkeit bei der Auswahl von Maßnahmen (Sicherung von Kritischen Infrastrukturen
).
Staatliche Regelungen
Die gesamtstaatliche Steuerung Kritischer Infrastrukturen soll mit dem Gesetz verbessert werden, um die Resilienz des Gesamtsystems der Kritischen Infrastrukturen
zu stärken:
- Staatlicher Rahmen für Meldewesen und Kontrollen zu Resilienz ans BBK, was das bestehden Meldewesen zu Cyber Security ergänzt und um einen Gesamtüberblick als Zentrales Störungs-Monitoring erweitert.
- EU-Berichtswesen und Koordination innerhalb der EU zu Betreibern, dem Stand der Resilienz, Vorfällen und Maßnahmen
- "Staatliche Risikobewertungen für die kritischen Dienstleistungen": als Grundlage für Bewertungen und Maßnahmen bei Betreibern
- All-Gefahren-Ansatz, der auch sektor- und grenzüberschreitenden Risiken berücksichtigt [etwas unklar, ob sich das an Betreiber und/oder Staat richtet — Ed.]
Es soll mit dem KRITIS-Dachgesetz Möglichkeiten staatlicher Hilfen für Betreiber Kritischer Infrastrukturen geben — zur Umsetzung der neuerlichen Maßnahmen.
Behörden
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) soll die Competent Authority, die nationale Behörde für den physischen Schutz kritischer Infrastrukturen
werden.
Dadurch wird das Aufgabenspektrum erweitert – das BBK soll Meldungen über Sicherheitsvorfälle annehmen, mit dem BSI zusammenarbeiten und als übergreifende Behörde
das Gesamtsystem
Kritischer Infrastrukturen betrachten, auch durch sektorenübergreifende Auswertungen.
Angelehnt an EU RCE/CER soll die Regulierung von Resilienz neben der nationalen Behörde in einen europäischen Rahmen in der EU eingebettet werden, zum Austausch von Informationen, Vorfällen, Vernetzung zwischen Aufsichtsbehörden und Betrachtung transnationaler Vorfälle und Auswirkungen.
Die genaue Orchestrierung zwischen BBK und den anderen Regulierungsbehörden wie BSI und BNetzA bleibt in der Gesetzgebung noch genauer auszugestalten – um u.a. parallele Zuständigkeiten bei Maßnahmen, Meldewegen zu vermeiden.
Das BBK soll hier die Behörden vernetzen und eine schnelle Informationsweitergabe
ermöglichen.
IT-Sicherheitsgesetz 3.0 und NIS 2
Ausblick und Scope
Das aktuelle IT-Sicherheitsgesetz 2.0 wurde mit langem Vorlauf nach den Erfahrungen seit 2015 entwickelt und trat Mai 2021 in Kraft. Auf EU-Ebene gibt es seit Jahren Bestrebungen, die Vorgaben für Kritische Infrastrukturen tiefer und verbindlicher zu machen – was unter anderem zu den NIS 2 (Cyber Security) und RCE (Resilienz) Direktiven geführt hat.
Während RCE anscheinend in Teilen im kommenden KRITIS-Dachgesetz behandelt wird, muss NIS 2 (EU 2022/2555) bis Oktober 2024 in nationale Gesetzgebung überführt werden und zu Änderungen am BSI-Gesetz führen, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen.
Die NIS 2 Anforderungen könnten im IT-Sicherheitsgesetz 3.0 behandelt werden, das sowohl Methodik, regulierte Unternehmen als auch Pflichten erweitert.
NIS2 schafft als horizontaler Rechtsakt [...] ein sektorübergreifendes Mindestsicherheitsniveau, allerdings
ergeben sich angesichts weiterer sektoraler und horizontaler Rechtsakte deutliche Querbezüge zu anderen Regulierungsbereichen.
Methodik
Die bisherige Logik im IT-Sicherheitsgesetz basiert auf Betreibern in KRITIS-Sektoren, die in definierten Anlagen definierte Dienstleistungen (kDL) erbringen und beim Überschreiten von Schwellenwerten (meist 500 Tsd. versorgte Personen) zur Kritischen Infrastruktur werden.
EU NIS 2 definiert ebenfalls Sektoren, legt Betroffenheit jedoch durch Unternehmensgröße fest: Unternehmen und Organisationen in diesen Sektoren mit >50 Mitarbeitern und >10 Mio. EUR Umsatz sind kritisch und müssen reguliert werden.
Ob die deutsche Methodik (Anlagen und Schwellenwerte) beibehalten und erweitert, oder durch die NIS 2 Methodik ergänzt wird, ist noch offen. Denkbar ist ein mehrstufiges System:
- KRITIS: Bestehende Sektoren und Anlagen bleiben erhalten und als KRITIS reguliert.
- NIS 2: Darüberhinausgehende Sektoren und Unternehmen in den NIS 2 Sektoren werden nach NIS 2 Methodik nach Unternehmensgröße reguliert.
- UBI: Die Unternehmen im besonderen öffentlichen Interesse bleiben mit KRITIS-light Pflichten bestehen, werden um Branchen/Gruppen erweitert oder direkt in NIS2 integriert.
Neue Sektoren und Unternehmen
In der NIS 2 Richtlinie sind achtzehn Sektoren definiert, die sich mit den deutschen KRITIS-Sektoren und den UBI teils überschneiden, teils aber auch über diese hinausgehen. Die im jetzigen IT-Sicherheitsgesetz noch fehlenden Sektoren (und Branchen) könnten dann im IT-Sicherheitsgesetz 3.0 oder neuen Rechtsverordnungen geregelt werden.
KRITIS | NIS2 |
---|---|
Teilweise in KRITIS |
Digitale Infrastruktur*,
Raumfahrt*,
Post und Kurier✝,
Chemikalien✝, Industrie✝ (Manufacturing), Digitale Dienste✝ |
Fehlt in KRITIS |
Energie* (Wasserstoff),
Gesundheit* (Medizinforschung, Medizingeräte), ICT Service Management* (Managed Service Providers, Managed Security Service Providers), Öffentliche Verwaltung*, Forschung* (Forschungsinstitute) |
Größenunabhängige Unternehmen
Neben einer Identifikation nach Unternehmensgröße fordert NIS 2, spezielle Betreiber unabhängig der Größe zu regulieren, was das IT-Sicherheitsgesetz bisher noch nicht vorsieht:
- Digitale Infrastruktur: Elektronische Kommunikation, Trust Service Provider, TLD und Domain Registrare
- Nationale Monopole (sole provider), Betreiber besonderer Wichtigkeit oder bei grenzüberschreitenden Abhängigkeiten
- Öffentliche Verwaltung, Zentralregierung und risikoorientiert Regionalregierung
Betreiber und Staat
Obwohl die Anforderungen, Pflichten und Befugnisse in der deutschen KRITIS-Regulierung eher umfangreich sind, geht die kommende EU-Regulierung teilweise darüberhinaus bzw. noch mehr ins Detail – was in einem Sicherheitsgesetz 3.0 aufgegriffen werden könnte.
Schutzmaßnahmen
Die konkreten Schutzmaßnahmen für Cyber Security und Resilienz sind in EU NIS 2 und der CER-Richtlinie deutlich konkreter und umfangreicher beschrieben als §8a BSIG der KRITIS-Regulierung. NIS 2 und RCE fordern viele konkrete Vorgaben, Prozesse und Kontrollen für z.B. BCM, Krisenvorsorge, Sicherheit in der Lieferkette und im Einkauf, und auch technische Maßnahmen wie Zugangskontrolle, Asset Management, Authentication und Kommunikation.
Betreiberpflichten
Die Meldepflichten und insbesondere EU-Verkettungen nehmen durch NIS 2 und RCE im Vergleich zu jetzigen Pflichten zu. Betreiber werden wahrscheinlich mehr Informationen an mehr Empfänger melden müssen. Die Möglichkeiten staatlicher Überprüfungen nehmen zu – durch Audits, Tests aber auch Scans durch staatliche oder unabhängige Stellen.
Staatliche Governance
Die Ausführungen zu staatlicher Aufsicht und Governance nehmen in NIS 2 und RCE zu — behördliche Befugnisse und Informationsbedarfe gegenüber Betreibern sollen erweitert, Strafen und Bußgelder angepasst werden. Teilweise sollen auch staatliche Register über kritische Betreiber erstellt und ebenso wie besonders kritische Betreiber gemeldet werden.
Zusammenarbeit in der EU
Die Kooperation und der Informationsaustausch innerhalb der EU und zwischen Behörden soll stark zunehmen, wozu auch nationale Informationen zu grenzüberschreitenden Betreibern, Risiken und Infrastrukturen ausgetausch werden sollen.
Rechtsverordnungen
Ausstehende Änderungen
Seit dem IT-Sicherheitsgesetz 2.0 gibt es noch ausstehende Änderungen an der KRITIS-Verordnung, die Sektoren und Anlagen in Deutschland konkretisiert.
Entsorgung
Der KRITIS-Sektor Siedlungsabfallentsorgung wird in einer neuen KRITIS-Verordnung 2.0 seit 2022 erarbeitet, mit geplantem Referentenentwurf im ersten Halbjahr 2023 und Inkrafttreten danach in 2023. Dort sollten Anlagen und Schwellenwerte aus dem Sektor definiert werden, um die konkrete Betroffenheit an Entsorgern zu definieren.
UBI
Offen sind noch konkretere Definitionen und Methodiken für Unternehmen im besonderen öffentlichen Interesse (UBI), speziell Gruppe 2 Volkswirtschaftliche Bedeutung und deren Zulieferer. Hier stehen noch Schwellenwerte und Identifikationsmechanismen aus, die letzte Annahme war analog zur Arbeit der Monopolkommission nach §44 (1) GWB.
Dies soll in einer separation UBI-Verordnung, der UBI-VO, erfolgen, ursprünglich geplant für 2022, nun möglicherweise in 2023.
Roadmap
Entwicklungen
Das bestehende IT-Sicherheitsgesetz 2.0 ist seit Mai 2021 in Kraft; die EU-Richtlinien wurden auf EU-Ebene verabschiedet, die Umsetzung in nationales Recht und KRITIS-Dachgesetz und IT-Sicherheitsgesetz 3.0 sind in Diskussion.
Ein Eckpunkte-Papier soll noch Ende 2022 und das Dachgesetz dann irgendwann
2023 verabschiedet werden, das IT-Sicherheitsgesetz (3.0) dann auch an die neue europäische Rechtslage angepasst werden
.
Zeitleiste
Version | Status | Datum | Akteur |
---|---|---|---|
NIS 2 | Entwurfsversion | Dez 2020 | Kommission |
RCE (CER) | Entwurfsversion | Dez 2020 | Kommission |
IT-Sicherheitsgesetz 2.0 | Inkrafttreten | Mai 2021 | Bundesrat |
NIS 2 | Zustimmung NIS 2 | Nov 2022 | EU Parlament |
RCE (CER) | Zustimmung CER | Nov 2022 | EU Parlament |
KRITIS-Dachgesetz | Diskussion | Nov 2022 | Presse |
NIS 2 | Annahme NIS 2 | Nov 2022 | Rat der EU |
KRITIS-Dachgesetz | Eckpunkte-Papier | Dez 2022 | Innenministerium |
NIS 2 | EU 2022/2555 | Dez 2022 | Amtsblatt |
RCR/CER | EU 2022/2557 | Dez 2022 | Amtsblatt |
KRITIS-Dachgesetz | Gesetzgebung | Sommer 2023 | Deutschland |
Verordnung Entsorgung | Gesetzgebung | 2023? | Deutschland |
Verordnung UBI | Gesetzgebung | 2023? | Deutschland |
IT-Sicherheitsgesetz 3.0 | Gesetzgebung | 2023? | Deutschland |
NIS 2 | Umsetzung national | bis Okt 2024 | Mitgliedstaaten |
CER | Umsetzung national | bis Okt 2024 | Mitgliedstaaten |
Weitere Informationen
Literatur
- Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
- Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
- KRITIS-Dachgesetz: Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
- Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
- Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
Quellen
- Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
- Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
- Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
- Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022