KRITIS-Verordnung 2021 und 2023
Die KRITIS-Rechtsverordnung (BSI-KritisV) konkretisiert das IT-Sicherheitsgesetz und definiert Schwellenwerte und Anlagen bei Betreibern. Die Bundesregierung hat nach dem IT-Sicherheitsgesetz 2.0 die KRITIS-Verordnung mehrfach geändert — die KRITIS-Verordnung 2021 (1.5), ergänzt durch eine weitere Änderung in 2023.
Die KRITIS-Verordnungen von 2021 und 2023 ändern die KRITIS-Regulierung:
- Schwellenwerte: Anpassungen der Schwellenwerte von KRITIS-Anlagen
- Anlagen: Neue und geänderte KRITIS-Anlagen in bestehenden Sektoren 2021
- Neue Anlagen: Ergänzung neuer Anlagen und Infrastrukturen 2023
Die KRITIS-Verordnung 2021 ist die 2. Verordnung zur Änderung der BSI-Kritisverordnung aus Januar 2022, die KRITIS-Verordnung 2023 ist die 3. Verordnung zur Änderung der BSI-Kritisverordnung aus März 2023. Beide ändern die KRITIS-Anlagen. Weitere Änderungen aus dem IT-Sicherheitsgesetz 2.0 und EU NIS 2 und CER stehen noch aus.
Neuerungen 2023
KRITIS-Verordnung 2023
Die KRITIS-Verordnung 2023 fügt zusätzliche Anlagen zur KRITIS-Regulierung hinzu:
- Energie: Neue Anlage für flüssiges Erdgas (LNG-Anlage) in 2023
- IT: Neue Anlage zur Anbindung von Seekabeln von Kommunikationsnetzen in 2023
Die Fristen für die geänderte KRITIS-Verordnung 2023 sind:
- Die 2023er Verordnung trat am 2.3.2023 in Kraft
- Neue Anlagen, die Schwellenwerte überschreiten, müssen ab 2023 zum 31.3. oder 1.4. identifiziert und dann registriert werden
Neuerungen 2021
KRITIS-Verordnung 2021
Die KRITIS-Verordnung 2021 senkt nach dem IT-Sicherheitsgesetz 2.0 einige Schwellenwerte und ergänzt und ändert die KRITIS-Anlagen 2021:
- Energie und Strom: Schwellenwerte in der Stromerzeugung und Handel sinken, einige Anlagen ändern sich und kommen hinzu, u.a. Strom, Gas; Schwellenwerte ändern sich.
- IT: Die Schwellenwerte von Rechenzentren, Cloud (Serverfarmen) und IXP sinken deutlich, Domain-Registries (TLD) kommen als Anlage dazu.
- Finanzen und Versicherung: Die bisher mehrfach vorhandenen Anlagen pro Versicherungsträger werden vereinfacht, neue kommen im Wertpapierhandel hinzu.
- Transport: Für Logistiker sind Sendungen nun auch ein Schwellenwert, bei Häfen, Flughäfen und Fluggesellschaften kommen neue Anlagen in der Leitung hinzu, im Straßenverkehr das Intelligente Verkehrssystem. Einige Schwellenwerte werden angepasst.
- ÖPNV: Die Anlage Verkehrssteuerungs- und Leitsystem des ÖPNV wird gestrichen, übrig bleiben ÖSPV-Anlagen — die nach §4 Abs. 1-3 PBefG wohl auch U-Bahnen umfassen. Der Schwellenwert wurde redaktionell angepasst auf Fahrgastfahrten, bleibt sonst gleich.
- Gesundheit: Bei Laboren werden die Anlagen Transportsystem und Kommunikationssystem für Aufträge/Befunde im Laborinformationsverbund zusammengefasst.
- Entsorgung und UBI: Der neue KRITIS-Sektor Entsorgung fehlt noch im Entwurf, ebenso die Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI). Möglicherweise werden beide in einer weiteren oder separaten Änderungsverordnung definiert.
Ebenso konkretisiert die KritisV 1.5 Definitionen rund um Anlagen und ihrer IT in §1:
- IT: Die Anlagen umfassen bzw. beinhalten neben Betriebsstätten, Einrichtungen und Geräten explizit die Software und IT-Dienste,
die für die Erbringung notwendig sind.
- Anlagen: Mehrere Anlagen in einem betriebstechnischen Zusamenhang für dieselbe kritische Dienstleistung gelten als eine Anlage.
- Betreiber: Werden Anlagen von mehreren Betreibern betrieben, sind alle für die Erfüllung der KRITIS-Pflichten verantwortlich.
Die Fristen durch die KRITIS-Verordnung 2021 sind:
- Die 2021er Verordnung ist am 1. Januar 2022 in Kraft getreten
- Neue und alte Anlagen, die die (neuen) Schwellenwerte 2021 überschreiten, müssen spätestens zum 1. April 2022 registriert werden
- Umsetzung von Cyber Security Maßnahmen nach §8a BSIG zum 1. April 2022
- Nachweis der Umsetzung durch KRITIS-Prüfungen spätestens zum 1. April 2024
Angepasste Schwellenwerte
Einige Schwellenwerte bestehender Anlagen werden in der KRITIS-Verordnung 2021 (1.5) angepasst, ebenfalls kommen neue hinzu.
Sinkende Schwellenwerte ↓
| Sektor | Anlage | Alt | Neu |
|---|---|---|---|
| Energie | Erzeugungsanlage | 420 | 104/0/36 MW Leistung |
| Energie | Steuerung/Bündelung | 420 | 104/0/36 MW Leistung |
| Energie | Stromhandel | 200 TWh | 3700 GWh |
| IT | IXP | 300 | 100 angeschlossene AS |
| IT | Rechenzentren | 5 | 3,5 MW Leistung |
| IT | Serverfarmen | 25 | 10/15 Tsd. Instanzen |
Steigende Schwellenwerte ↑
Der Schwellenwert der Logistik-Anlagen steigt anscheinend auf 17,55 Mio. Tonnen Güter.
Neue Schwellenwerte ⚡
| Sektor | Bereich | Neu |
|---|---|---|
| Energie | Öl | 63,7 Tsd. t Flugkraftstoff |
| Transport | Logistik | 53,2 Mio. Sendungen |
Änderungen an Anlagen
Die KRITIS-Verordnung 2021 definiert eine Reihe neuer KRITIS-Anlagen bei KRITIS-Betreibern und streicht bzw. fasst zusammen. Die Änderung in 2023 ⚡ fügt zwei weitere Anlagen hinzu.
Neue Anlagen
| Sektor | Bereich | Neu |
|---|---|---|
| Energie | Gas | Zentrale Steuerung |
| Energie | Gas | Gasgrenzübergabestelle |
| Energie | Gas | Gashandel |
| Energie | Gas | ⚡ LNG-Anlage |
| Energie | Öl | Zentrale Steuerung (Förderung) |
| Energie | Öl | Kommerzielle Steuerung (Handel) |
| Energie | Fernwärme | Zentrale Steuerung |
| Gesundheit | Labore | Laborinformationsverbund |
| IT | Übertragung | ⚡ Seekabelanlandestation |
| IT | Steuerung | TLD-Registry |
| Transport | Flugverkehr | Flughafenleitungsorgan |
| Transport | Flugverkehr | Verkehrszentrale Fluggesellschaft |
| Transport | Schiffahrt | Hafenleitungsorgan |
| Transport | Schiffahrt | Hafenbetrieb |
| Transport | Schiffahrt | Umschlaganlage |
| Transport | Straßenverkehr | Intelligentes Verkehrssystem |
| Finanzen | Wertpapiere | Erzeugen von Aufträgen zum Handel |
| Finanzen | Wertpapiere | Handelsplatz |
| Finanzen | Wertpapiere | Sonst. Depotführung |
| Entsorgung | noch nicht definiert |
Wegfallende Anlagen ✗
| Sektor | Bereich | Fällt weg |
|---|---|---|
| Energie | Strom | Erzeugungsanlage mit Wärmeauskopplung Dez. Erzeugungsanlage Speicheranlage Messtelle |
| Gesundheit | Labordiagnostik | Transportsystem |
| Gesundheit | Labordiagnostik | Kommunikationssystem Auftrags-/Befundübermittlung |
| Transport | ÖPNV | Verkehrssteuerungs- und Leitsystem ÖPNV |
Neue Betreiber
Die neuen Schwellenwerte und Anlagendefinitionen haben Auswirkungen auf die Wirtschaft. Die Verordnung schätzt im Jahr 2023 insgesamt etwa 1.500 KRITIS-Anlagen, nachdem in 2021 von 252 zusätzlichen KRITIS-Betreibern zu knapp 1.600 bestehenden ausgegangen wurde.
Die 2021er-Schätzung:
- Energie: 131 Betreiber in der Stromerzeugung dazu, 12 bei Gas, 4 bei Mineralöl
- Gesundheit: keine Zahlen im Entwurf
- Transport: 6 neue Betreiber im Luftverkehr, 34 in der Schifffahrt, 34 im Straßenverkehr (Intelligentes Verkehrssystem), keine Änderungen im ÖPNV
- IT und TK: 3 neue IXPs, 7 neue RZ-Betreiber
- Finanz- und Versicherungen: 21 neue Betreiber im Handel
- Weitere Sektoren: keine Zahlen im Entwurf
- Siedlungsabfallentsorgung: keine Zahlen im Entwurf
- UBI: keine Zahlen im Entwurf
In 2023 werden elf zusätzliche Anlagen geschätzt, acht in Energie und drei in IT/TK.
Offene Themen
Einige Themen aus dem IT-Sicherheitsgesetz 2.0 werden noch in weiteren Verordnungen durch die KritisV 2.0 und dem NIS2UmsuCG definiert:
Der KRITIS-Sektor Siedlungsabfallentsorgung wird in einer neuen KRITIS-Verordnung 2.0 seit 2022 erarbeitet, mit Entwurf und Inkrafttreten wahrscheinlich in 2023. Aller Voraussicht nach, entfallen mit dem NIS2UmsuCG die Unternehmen im besonderen öffentlichen Interesse. Stattdessen werden sie in wichtige und teils auch besonders wichtige Einrichtungen integriert.
Sektor Entsorgung
Offen ist noch eine genaue Definition der kritischen Dienstleistung, KRITIS-Anlagen und Schwellenwerte des neuen Sektors KRITIS Siedlungsabfallentsorgung, wahrscheinlich in 2023.
Weitere Informationen
Literatur
- IT-Sicherheitsgesetz 2.0 auf OpenKRITIS
- IT-Sicherheitsgesetz: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht, Beck-Community, 27.4.2021
- Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022, heise online 08/2021
- Fragen und Antworten zur 2. Änderungsverordnung der BSI-Kritisverordnung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
Quellen
- Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
- Zweite Verordnung zur Änderung der BSI-Kritisverordnung, Bundesministeriums des Innern, o.D. (Mirror IHK Braunschweig), 18.8.21
- Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
- Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
- Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021