Kritische Sektoren

Die KRITIS-Regulierung definiert in Deutschland acht KRITIS-Sektoren, in denen Betreiber die Allgemeinheit als Kritische Infrastruktur versorgen. Die einzelnen Sektoren sind im BSI-Gesetz, die Anlagen in der KRITIS-Verordnung definiert.

Kategorie Sektoren
Grundversorgung Energie, Wasser, Ernährung, Gesundheit
Versorgung Transport und Verkehr, Entsorgung 2.0
Dienstleistungen IT und TK, Finanzen und Versicherungen

Die EU-Regulierung zu Kritischen Infrastrukturen geht über diese Sektoren hinaus und legt in EU NIS2 und EU RCE breitere Sektor-Definitionen fest.

Sektoren in Deutschland

KRITIS-Sektoren

Unternehmen, die in KRITIS-Sektoren kritische Dienstleistungen auf definierten Anlagen erbringen und dabei Schwellenwerte überschreiten, werden zu KRITIS-Betreibern.

aus BSI-KritisV Stand 2021 und IT-SiG 2.0 Stand 2021
KRITIS-Sektor Kritische Dienstleistungen (kDL)
Energie Stromversorgung: Erzeugung, Übertragung und Verteilung
Gasversorgung: Förderung, Transport und Verteilung
Kraftstoff- und Heizölversorgung: Förderung, Herstellung, Transport und Verteilung
Fernwärmeversorgung: Erzeugung und Verteilung
Wasser Abwasserbeseitigung: Siedlungsentwässerung, Abwasserbehandlung und Gewässereinleitung, Steuerung und Überwachung
Trinkwasserversorgung: Gewinnung, Aufbereitung, Verteilung und Steuerung und Überwachung
Ernährung Lebensmittelversorgung: Herstellung, Behandlung und Handel
Gesundheit Stationäre medizinische Versorgung: Aufnahme, Diagnose, Therapie, Unterbringung/Pflege und Entlassung
Versorgung mit lebenserhaltenden Medizinprodukten: Herstellung und Abgabe
Versorgung mit Arzneien und Blut/Plasma: Herstellung, Vertrieb und Abgabe
Laboratoriumsdiagnostik: Transport und Analytik
Transport und Verkehr Personen-und Güterverkehr: Luftfahrt, Schienenverkehr, See- und Binnenschiffen, Straßenverkehr, ÖPNV und Logistik
Informationstechnik und
Telekommunikation
Sprach- und Datenübertragung: Zugang, Übertragung, Vermittlung und Steuerung.
Datenspeicherung und -verarbeitung: Housing, IT-Hosting und Vertrauensdienste.
Finanz- und Versicherungswesen Bargeldversorgung: Abheben, Einbringen, Kundenkonten und Bargeldlogistik
Kartengestützter Zahlungsverkehr: Autorisieren, Einbringen und Konten
Konventioneller Zahlungsverkehr: Annahme, Einbringen und Konten
Wertpapier- und Derivatgeschäfte: Verrechnung und Verbuchung
Versicherungsdienstleistungen: Inanspruchnahme
Entsorgung 2.0 Entsorgung von Siedlungsabfällen
— Definition in der KritisV 2.0 noch ausstehend
Medien und Kultur — Nicht im BSIG reguliert
Staat und Verwaltung — Nicht im BSIG reguliert

up

Unternehmen im besonderen öffentlichen Interesse

Seit dem IT-Sicherheitsgesetz 2.0 gehören auch Unternehmen im besonderen öffentlichen Interesse zur Regulierung (UBI), die jedoch keine KRITIS-Betreiber/Sektoren sind.

aus BSI-KritisV Stand 2021 und IT-SiG 2.0 Stand 2021
Sektor Gruppen
Unternehmen im besonderen
öffentlichen Interesse
(UBI) 2.0
1. Hersteller von Rüstung und IT-Produkten für staatliche VS
2. Unternehmen mit besonderer volkswirtschaftliche Bedeutung,
+ deren Zulieferer,
3. Betreiber von Betriebsbereichen der oberen Klasse (Gefahrstoffe)

up

NIS2-Umsetzungsgesetz

Durch die NIS2-Umsetzung kommen zu den Betreibern kritischer Anlagen (KRITIS-Betreiber) zwei Gruppen von Unternehmen (Einrichtungen) hinzu – die besonders wichtigen Einrichtungen und wichtige Einrichtungen, mit eigenen Sektoren und Definitionen. Weitere Betreiber und auch KRITIS-Betreiber ordnen sich in diese Gruppen dann auch ein.

eigene Zusammenstellung
Kategorie Größe Sektoren
Kritische Anlagen Schwellenwerte Anlagen KRITIS: Energie, Verkehr und Transport, Trinkwasser, Abwasser,
Gesundheitsweisen, Ernährung, Siedlungsabfallentsorgung,
Bankwesen, Finanzmärkte, Digitale Infrastruktur*
Besonders wichtig
§28 (3)
Großunternehmen Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum
unabhängig Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
Mittlere Unternehmen Anbieter öffentlicher TK-Netze und TK-Dienste
unabhängig Betreiber kritischer Anlagen (KRITIS-Betreiber)
unabhängig Zentralregierung (Bundesministerien und Bundeskanzleramt)
Wichtig
§28 (4)
Mittlere Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum
Großunternehmen
Mittlere Unternehmen
Annex II: Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste, Forschung
unabhängig Vertrauensdienste
unabhängig Hersteller Rüstungsgüter und VS-IT (UBI 1)
unabhängig Betreiber Betriebsbereich obere Klasse (UBI 3)

up

KRITIS-Dachgesetz

Das mögliche KRITIS-Dachgesetz wird ab 2023 noch mehr Unternehmen umfassen, deren Sektoren in den Entwürfen von 2022 über KRITIS-Betreiber hinausgehen (analog EU RCE):

Eckpunkte-Papier KRITIS-Dachgesetzt, BMI 2022
* - unklar
Sektor Dachgesetz Kommentar
Energie wie KRITIS-Sektor
Verkehr wie KRITIS-Sektor (Transport und Verkehr)
Bankwesen wie KRITIS-Sektor Finanz- und Versicherungswesen,
aber ohne Versicherungen*
Finanzmarktinfrastruktur in KRITIS-Sektor Finanz- und Versicherungswesen*
Gesundheit wie KRITIS-Sektor
Trinkwasser in KRITIS-Sektor (Wasser)
Abwasser in KRITIS-Sektor (Wasser)
Ernährung wie KRITIS-Sektor
Digitale Infrastruktur geht über den KRITIS-Sektor IT und TK hinaus
Öffentliche Verwaltung bisher nicht in KRITIS reguliert
Raumfahrt geht über den KRITIS-Sektor Transport und Verkehr hinaus
Medien und Kultur bisher nicht in KRITIS reguliert – soll angemessen einbezogen werden
Bildung und Betreuung bisher nicht in KRITIS reguliert – soll in Blick genommen werden

up

Sektoren in der EU

EU NIS2 und RCE

Die kritischen EU-Sektoren gehen über die deutschen KRITIS-Sektoren hinaus und sind zwischen EU NIS2 und EU RCE größtenteils harmonisiert.

eigene Zusammenstellung EU NIS2 und RCE Sektoren
* - in NIS 2 teils unabhängig der Größe
✝ - von einigen RCE-Pflichten und Aufsicht ausgenommen
NIS2 Sektoren RCE Sektoren KRITIS Sektoren
Identifikation durch
Unternehmens­größe
Bestimmung Betreiber
durch den Staat
Identifikation durch
Schwellenwerte
Annex I Critical Entities KRITIS
Energie Energie Energie
Transport Transport Transport/Verkehr
Bankwesen Bankwesen✝ Finanzwesen
Finanzmärkte Finanzmärkte✝ Finanzwesen
Gesundheit Gesundheit Gesundheit
Trinkwasser Trinkwasser Wasser
Abwasser Abwasser Wasser
Digitale Infrastruktur* Digitale Infrastruktur✝ IT und TK (tw. TKG)
ICT Service Management - -
Öffentliche Verwaltung* Öffentliche Verwaltung -
Weltraum Weltraum tw. Transport
- Ernährung Ernährung
Annex II - KRITIS und UBI
Post und Kurier tw. Transport
Abfallwirtschaft Entsorgung
Chemikalien UBI (3)
Lebensmittel Ernährung
Industrie tw. UBI (2)
Digitale Dienste tw. Telemedien (TMG)
Forschung -

up

Weitere Informationen

Quellen

  1. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG), vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  3. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  4. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz - IT-SiG 2.0), Bundesministeriums des Innern, 2. Dezember 2020