Kritische Sektoren
Die KRITIS-Regulierung definiert in Deutschland acht KRITIS-Sektoren, in denen Betreiber die Allgemeinheit als Kritische Infrastruktur versorgen. Die einzelnen Sektoren sind im BSI-Gesetz, die Anlagen in der KRITIS-Verordnung definiert.
| Kategorie | Sektoren |
|---|---|
| Grundversorgung | Energie, Wasser, Ernährung, Gesundheit |
| Versorgung | Transport und Verkehr, Entsorgung 2.0 |
| Dienstleistungen | IT und TK, Finanzen und Versicherungen |
Die EU-Regulierung zu Kritischen Infrastrukturen geht über diese Sektoren hinaus und legt in EU NIS2 und EU RCE breitere Sektor-Definitionen fest.
Sektoren in Deutschland
KRITIS-Sektoren
Unternehmen, die in KRITIS-Sektoren kritische Dienstleistungen auf definierten Anlagen erbringen und dabei Schwellenwerte überschreiten, werden zu KRITIS-Betreibern.
| KRITIS-Sektor | Kritische Dienstleistungen (kDL) |
|---|---|
| Energie |
Stromversorgung: Erzeugung, Übertragung und Verteilung Gasversorgung: Förderung, Transport und Verteilung Kraftstoff- und Heizölversorgung: Förderung, Herstellung, Transport und Verteilung Fernwärmeversorgung: Erzeugung und Verteilung |
| Wasser |
Abwasserbeseitigung: Siedlungsentwässerung, Abwasserbehandlung und Gewässereinleitung, Steuerung und Überwachung Trinkwasserversorgung: Gewinnung, Aufbereitung, Verteilung und Steuerung und Überwachung |
| Ernährung | Lebensmittelversorgung: Herstellung, Behandlung und Handel |
| Gesundheit |
Stationäre medizinische Versorgung: Aufnahme, Diagnose, Therapie, Unterbringung/Pflege und Entlassung Versorgung mit lebenserhaltenden Medizinprodukten: Herstellung und Abgabe Versorgung mit Arzneien und Blut/Plasma: Herstellung, Vertrieb und Abgabe Laboratoriumsdiagnostik: Transport und Analytik |
| Transport und Verkehr | Personen-und Güterverkehr: Luftfahrt, Schienenverkehr, See- und Binnenschiffen, Straßenverkehr, ÖPNV und Logistik |
| Informationstechnik und Telekommunikation |
Sprach- und Datenübertragung: Zugang, Übertragung, Vermittlung und Steuerung. Datenspeicherung und -verarbeitung: Housing, IT-Hosting und Vertrauensdienste. |
| Finanz- und Versicherungswesen |
Bargeldversorgung: Abheben, Einbringen, Kundenkonten und Bargeldlogistik Kartengestützter Zahlungsverkehr: Autorisieren, Einbringen und Konten Konventioneller Zahlungsverkehr: Annahme, Einbringen und Konten Wertpapier- und Derivatgeschäfte: Verrechnung und Verbuchung Versicherungsdienstleistungen: Inanspruchnahme |
| Entsorgung 2.0 | Entsorgung von Siedlungsabfällen — Definition in der KritisV 2.0 noch ausstehend |
| Medien und Kultur | — Nicht im BSIG reguliert |
| Staat und Verwaltung | — Nicht im BSIG reguliert |
Unternehmen im besonderen öffentlichen Interesse
Seit dem IT-Sicherheitsgesetz 2.0 gehören auch Unternehmen im besonderen öffentlichen Interesse zur Regulierung (UBI), die jedoch keine KRITIS-Betreiber/Sektoren sind.
| Sektor | Gruppen |
|---|---|
| Unternehmen im besonderen öffentlichen Interesse (UBI) 2.0 |
1. Hersteller von Rüstung und IT-Produkten für staatliche VS 2. Unternehmen mit besonderer volkswirtschaftliche Bedeutung, + deren Zulieferer, 3. Betreiber von Betriebsbereichen der oberen Klasse (Gefahrstoffe) |
NIS2-Umsetzungsgesetz
Durch die NIS2-Umsetzung kommen zu den Betreibern kritischer Anlagen (KRITIS-Betreiber) zwei Gruppen von Unternehmen (Einrichtungen) hinzu – die besonders wichtigen Einrichtungen und wichtige Einrichtungen, mit eigenen Sektoren und Definitionen. Weitere Betreiber und auch KRITIS-Betreiber ordnen sich in diese Gruppen dann auch ein.
| Kategorie | Größe | Sektoren |
|---|---|---|
| Kritische Anlagen | Schwellenwerte Anlagen | KRITIS: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Ernährung, Siedlungsabfallentsorgung, Bankwesen, Finanzmärkte, Digitale Infrastruktur* |
| Besonders wichtig §28 (3) |
Großunternehmen | Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum |
| unabhängig | Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste | |
| Mittlere Unternehmen | Anbieter öffentlicher TK-Netze und TK-Dienste | |
| unabhängig | Betreiber kritischer Anlagen (KRITIS-Betreiber) | |
| unabhängig | Zentralregierung (Bundesministerien und Bundeskanzleramt) | |
| Wichtig §28 (4) |
Mittlere | Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum |
| Großunternehmen Mittlere Unternehmen |
Annex II: Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste, Forschung | |
| unabhängig | Vertrauensdienste | |
| unabhängig | Hersteller Rüstungsgüter und VS-IT (UBI 1) | |
| unabhängig | Betreiber Betriebsbereich obere Klasse (UBI 3) | |
KRITIS-Dachgesetz
Das mögliche KRITIS-Dachgesetz wird ab 2023 noch mehr Unternehmen umfassen, deren Sektoren in den Entwürfen von 2022 über KRITIS-Betreiber hinausgehen (analog EU RCE):
| Sektor Dachgesetz | Kommentar |
|---|---|
| Energie | wie KRITIS-Sektor |
| Verkehr | wie KRITIS-Sektor (Transport und Verkehr) |
| Bankwesen | wie KRITIS-Sektor Finanz- und Versicherungswesen, aber ohne Versicherungen? |
| Finanzmarktinfrastruktur | in KRITIS-Sektor Finanz- und Versicherungswesen? |
| Gesundheit | wie KRITIS-Sektor |
| Trinkwasser | in KRITIS-Sektor (Wasser) |
| Abwasser | in KRITIS-Sektor (Wasser) |
| Ernährung | wie KRITIS-Sektor |
| Digitale Infrastruktur | geht über den KRITIS-Sektor IT und TK hinaus |
| Öffentliche Verwaltung | bisher nicht in KRITIS reguliert |
| Raumfahrt | geht über den KRITIS-Sektor Transport und Verkehr hinaus |
| Medien und Kultur | bisher nicht in KRITIS reguliert – soll angemessen einbezogenwerden |
| Bildung und Betreuung | bisher nicht in KRITIS reguliert – soll in Blick genommenwerden |
Sektoren in der EU
EU NIS2 und RCE
Die kritischen EU-Sektoren gehen über die deutschen KRITIS-Sektoren hinaus und sind zwischen EU NIS2 und EU RCE größtenteils harmonisiert.
| NIS2 Sektoren | RCE Sektoren | KRITIS Sektoren |
|---|---|---|
| Identifikation durch Unternehmensgröße |
Bestimmung Betreiber durch den Staat |
Identifikation durch Schwellenwerte |
| Annex I | Critical Entities | KRITIS |
| Energie | Energie | Energie |
| Transport | Transport | Transport/Verkehr |
| Bankwesen | Bankwesen✝ | Finanzwesen |
| Finanzmärkte | Finanzmärkte✝ | Finanzwesen |
| Gesundheit | Gesundheit | Gesundheit |
| Trinkwasser | Trinkwasser | Wasser |
| Abwasser | Abwasser | Wasser |
| Digitale Infrastruktur* | Digitale Infrastruktur✝ | IT und TK (tw. TKG) |
| ICT Service Management | - | - |
| Öffentliche Verwaltung* | Öffentliche Verwaltung | - |
| Weltraum | Weltraum | tw. Transport |
| - | Ernährung | Ernährung |
| Annex II | - | KRITIS und UBI |
| Post und Kurier | tw. Transport | |
| Abfallwirtschaft | Entsorgung | |
| Chemikalien | UBI (3) | |
| Lebensmittel | Ernährung | |
| Industrie | tw. UBI (2) | |
| Digitale Dienste | tw. Telemedien (TMG) | |
| Forschung | - |
Weitere Informationen
Quellen
- Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG), vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz - IT-SiG 2.0), Bundesministeriums des Innern, 2. Dezember 2020