Kritische Sektoren
Die KRITIS-Regulierung definiert in Deutschland acht KRITIS-Sektoren, in denen Betreiber die Allgemeinheit als Kritische Infrastruktur versorgen. Die einzelnen Sektoren sind im BSI-Gesetz, die Anlagen in der KRITIS-Verordnung definiert.
Kategorie | Sektoren |
---|---|
Grundversorgung | Energie, Wasser, Ernährung, Gesundheit |
Versorgung | Transport und Verkehr, Entsorgung 2.0 |
Dienstleistungen | IT und TK, Finanzen und Versicherungen |
Die EU-Regulierung zu Kritischen Infrastrukturen geht über diese Sektoren hinaus und legt in EU NIS2 und EU RCE breitere Sektor-Definitionen fest.
Sektoren in Deutschland
KRITIS-Sektoren
Unternehmen, die in KRITIS-Sektoren kritische Dienstleistungen auf definierten Anlagen erbringen und dabei Schwellenwerte überschreiten, werden zu KRITIS-Betreibern.
KRITIS-Sektor | Kritische Dienstleistungen (kDL) |
---|---|
Energie |
Stromversorgung: Erzeugung, Übertragung und Verteilung Gasversorgung: Förderung, Transport und Verteilung Kraftstoff- und Heizölversorgung: Förderung, Herstellung, Transport und Verteilung Fernwärmeversorgung: Erzeugung und Verteilung |
Wasser |
Abwasserbeseitigung: Siedlungsentwässerung, Abwasserbehandlung und Gewässereinleitung, Steuerung und Überwachung Trinkwasserversorgung: Gewinnung, Aufbereitung, Verteilung und Steuerung und Überwachung |
Ernährung | Lebensmittelversorgung: Herstellung, Behandlung und Handel |
Gesundheit |
Stationäre medizinische Versorgung: Aufnahme, Diagnose, Therapie, Unterbringung/Pflege und Entlassung Versorgung mit lebenserhaltenden Medizinprodukten: Herstellung und Abgabe Versorgung mit Arzneien und Blut/Plasma: Herstellung, Vertrieb und Abgabe Laboratoriumsdiagnostik: Transport und Analytik |
Transport und Verkehr | Personen-und Güterverkehr: Luftfahrt, Schienenverkehr, See- und Binnenschiffen, Straßenverkehr, ÖPNV und Logistik |
Informationstechnik und Telekommunikation |
Sprach- und Datenübertragung: Zugang, Übertragung, Vermittlung und Steuerung. Datenspeicherung und -verarbeitung: Housing, IT-Hosting und Vertrauensdienste. |
Finanz- und Versicherungswesen |
Bargeldversorgung: Abheben, Einbringen, Kundenkonten und Bargeldlogistik Kartengestützter Zahlungsverkehr: Autorisieren, Einbringen und Konten Konventioneller Zahlungsverkehr: Annahme, Einbringen und Konten Wertpapier- und Derivatgeschäfte: Verrechnung und Verbuchung Versicherungsdienstleistungen: Inanspruchnahme |
Entsorgung 2.0 | Entsorgung von Siedlungsabfällen — Definition in der KritisV 2.0 noch ausstehend |
Medien und Kultur | — Nicht im BSIG reguliert |
Staat und Verwaltung | — Nicht im BSIG reguliert |
Unternehmen im besonderen öffentlichen Interesse
Seit dem IT-Sicherheitsgesetz 2.0 gehören auch Unternehmen im besonderen öffentlichen Interesse zur Regulierung (UBI), die jedoch keine KRITIS-Betreiber/Sektoren sind.
Sektor | Gruppen |
---|---|
Unternehmen im besonderen öffentlichen Interesse (UBI) 2.0 |
1. Hersteller von Rüstung und IT-Produkten für staatliche VS 2. Unternehmen mit besonderer volkswirtschaftliche Bedeutung, + deren Zulieferer, 3. Betreiber von Betriebsbereichen der oberen Klasse (Gefahrstoffe) |
NIS2-Umsetzungsgesetz
Durch die NIS2-Umsetzung kommen zu den Betreibern kritischer Anlagen (KRITIS-Betreiber) zwei Gruppen von Unternehmen (Einrichtungen) hinzu – die besonders wichtigen Einrichtungen und wichtige Einrichtungen, mit eigenen Sektoren und Definitionen. Weitere Betreiber und auch KRITIS-Betreiber ordnen sich in diese Gruppen dann auch ein.
Kategorie | Größe | Sektoren |
---|---|---|
Kritische Anlagen | Schwellenwerte Anlagen | KRITIS: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Ernährung, Siedlungsabfallentsorgung, Bankwesen, Finanzmärkte, Digitale Infrastruktur* |
Besonders wichtig §28 (3) |
Großunternehmen | Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum |
unabhängig | Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste | |
Mittlere Unternehmen | Anbieter öffentlicher TK-Netze und TK-Dienste | |
unabhängig | Betreiber kritischer Anlagen (KRITIS-Betreiber) | |
unabhängig | Zentralregierung (Bundesministerien und Bundeskanzleramt) | |
Wichtig §28 (4) |
Mittlere | Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum |
Großunternehmen Mittlere Unternehmen |
Annex II: Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste, Forschung | |
unabhängig | Vertrauensdienste | |
unabhängig | Hersteller Rüstungsgüter und VS-IT (UBI 1) | |
unabhängig | Betreiber Betriebsbereich obere Klasse (UBI 3) |
KRITIS-Dachgesetz
Das mögliche KRITIS-Dachgesetz wird ab 2023 noch mehr Unternehmen umfassen, deren Sektoren in den Entwürfen von 2022 über KRITIS-Betreiber hinausgehen (analog EU RCE):
Sektor Dachgesetz | Kommentar |
---|---|
Energie | wie KRITIS-Sektor |
Verkehr | wie KRITIS-Sektor (Transport und Verkehr) |
Bankwesen | wie KRITIS-Sektor Finanz- und Versicherungswesen, aber ohne Versicherungen* |
Finanzmarktinfrastruktur | in KRITIS-Sektor Finanz- und Versicherungswesen* |
Gesundheit | wie KRITIS-Sektor |
Trinkwasser | in KRITIS-Sektor (Wasser) |
Abwasser | in KRITIS-Sektor (Wasser) |
Ernährung | wie KRITIS-Sektor |
Digitale Infrastruktur | geht über den KRITIS-Sektor IT und TK hinaus |
Öffentliche Verwaltung | bisher nicht in KRITIS reguliert |
Raumfahrt | geht über den KRITIS-Sektor Transport und Verkehr hinaus |
Medien und Kultur | bisher nicht in KRITIS reguliert – soll angemessen einbezogenwerden |
Bildung und Betreuung | bisher nicht in KRITIS reguliert – soll in Blick genommenwerden |
Sektoren in der EU
EU NIS2 und RCE
Die kritischen EU-Sektoren gehen über die deutschen KRITIS-Sektoren hinaus und sind zwischen EU NIS2 und EU RCE größtenteils harmonisiert.
NIS2 Sektoren | RCE Sektoren | KRITIS Sektoren |
---|---|---|
Identifikation durch Unternehmensgröße |
Bestimmung Betreiber durch den Staat |
Identifikation durch Schwellenwerte |
Annex I | Critical Entities | KRITIS |
Energie | Energie | Energie |
Transport | Transport | Transport/Verkehr |
Bankwesen | Bankwesen✝ | Finanzwesen |
Finanzmärkte | Finanzmärkte✝ | Finanzwesen |
Gesundheit | Gesundheit | Gesundheit |
Trinkwasser | Trinkwasser | Wasser |
Abwasser | Abwasser | Wasser |
Digitale Infrastruktur* | Digitale Infrastruktur✝ | IT und TK (tw. TKG) |
ICT Service Management | - | - |
Öffentliche Verwaltung* | Öffentliche Verwaltung | - |
Weltraum | Weltraum | tw. Transport |
- | Ernährung | Ernährung |
Annex II | - | KRITIS und UBI |
Post und Kurier | tw. Transport | |
Abfallwirtschaft | Entsorgung | |
Chemikalien | UBI (3) | |
Lebensmittel | Ernährung | |
Industrie | tw. UBI (2) | |
Digitale Dienste | tw. Telemedien (TMG) | |
Forschung | - |
Weitere Informationen
Quellen
- Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG), vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz - IT-SiG 2.0), Bundesministeriums des Innern, 2. Dezember 2020