Die KRITIS-Verordnung 2021

Die KRITIS-Rechtsverordnung konkretisiert die Ausführungen vom IT-Sicherheitsgesetz und definiert Schwellenwerte, Anlagen und Vorgaben zur Umsetzung. Die Regierung hat nach dem IT-Sicherheitsgesetz 2.0 eine aktualisierte KRITIS-Verordnung in 2021 beschlossen, die KRITIS-Verordnung 1.5 (teils KRITIS-Verordnung 2.0 genannt).

Die KRITIS-Verordnung 2021 (1.5) umfasst die 2021er KRITIS-Anlagen und Schwellenwerte und ist als 2. Verordnung zur Änderung der BSI-Kritis­verordnung seit 1. Januar 2022 in Kraft. Weitere Änderungen stehen aus dem IT-Sicherheitsgesetz 2.0 stehen 2022 noch aus und werden separat reguliert.

Der KRITIS-Sektor Siedlungs­abfallentsorgung wird in einer neuen KRITIS-Verordnung 2.0 seit 2022 erarbeitet, mit geplantem Referenten­entwurf Ende 2022 und Inkrafttreten in der ersten Jahreshälfte 2023. Offen sind ebenfalls UBI/UNBÖFI-Regeln, die in einer UBI-Verordnung (UBI-VO) definiert werden sollen.

Neuerungen in 2021 (KritisV 1.5)

Zusammenfassung

Die neue KRITIS-Verordnung 2021 senkt einige Schwellenwerte und ergänzt und ändert die KRITIS-Anlagen 2021, mit folgenden Änderungen (V1.5):

Ebenso konkretisiert die KritisV 1.5 Definitionen rund um Anlagen und ihrer IT in §1:

Die Fristen durch die neuen KRITIS-Verordnung 1.5 sind:

up

Angepasste Schwellenwerte

Einige Schwellenwerte bestehender Anlagen werden in der KRITIS-Verordnung 2021 (1.5) angepasst, ebenfalls kommen neue hinzu.

Sinkende Schwellenwerte ↓

Sektor Anlage Alt Neu
Energie Erzeugungsanlage 420 104/0/36 MW Leistung
Energie Steuerung/Bündelung 420 104/0/36 MW Leistung
Energie Stromhandel 200 TWh 3700 GWh
IT IXP 300 100 angeschlossene AS
IT Rechenzentren 5 3,5 MW Leistung
IT Serverfarmen 25 10/15 Tsd. Instanzen

Steigende Schwellenwerte ↑

Der Schwellenwert der Logistik-Anlagen steigt anscheinend auf 17,55 Mio. Tonnen Güter.

Neue Schwellenwerte ⚡

Sektor Bereich Neu
Energie Öl 63,7 Tsd. t Flugkraftstoff
Transport Logistik 53,2 Mio. Sendungen

up

Änderungen an Anlagen

Die KRITIS-Verordnung 2021 definiert eine Reihe neuer KRITIS-Anlagen bei KRITIS-Betreibern und streicht bzw. fasst andere zusammen.

Neue Anlagen ⚡

Sektor Bereich Neu
Energie Gas Zentrale Steuerung
Energie Gas Gasgrenzübergabestelle
Energie Gas Gashandel
Energie Öl Zentrale Steuerung (Förderung)
Energie Öl Kommerzielle Steuerung (Handel)
Energie Fernwärme Zentrale Steuerung
Gesundheit Labore Laborinformationsverbund
IT Steuerung TLD-Registry
Transport Flugverkehr Flughafenleitungsorgan
Transport Flugverkehr Verkehrszentrale Fluggesellschaft
Transport Schiffahrt Hafenleitungsorgan
Transport Schiffahrt Hafenbetrieb
Transport Schiffahrt Umschlaganlage
Transport Straßenverkehr Intelligentes Verkehrssystem
Finanzen Wertpapiere Erzeugen von Aufträgen zum Handel
Finanzen Wertpapiere Handelsplatz
Finanzen Wertpapiere Sonst. Depotführung
Entsorgung noch nicht definiert

Wegfallende Anlagen ✗

Sektor Bereich Fällt weg
Energie Strom Erzeugungsanlage mit Wärmeauskopplung
Dez. Erzeugungsanlage
Speicheranlage
Messtelle
Gesundheit Labordiagnostik Transportsystem
Gesundheit Labordiagnostik Kommunikationssystem Auftrags-/Befundübermittlung
Transport ÖPNV Verkehrssteuerungs- und Leitsystem ÖPNV

up

Neue Betreiber

Die neuen Schwellenwerte und Anlagendefinitionen haben Auswirkungen auf die Wirtschaft. Die Verordnung schätzt 252 zusätzliche KRITIS-Betreiber zu den knapp 1.600 bestehenden (Stand August 2021)

up

Offene Themen

Einige Themen aus dem IT-Sicherheitsgesetz 2.0 werden noch in weiteren Verordnungen in 2022 durch die KritisV 2.0 und UBI-VO definiert:

Unternehmen im besonderen öffentlichen Interesse

Offen sind noch konkretere Definitionen der neuen betroffenen Unternehmen, UBI/UNBÖFI, deren Schwellenwerte und Identifikations­mechanismen. Dies soll in einer separation UBI-Verordnung, UBI-VO, erfolgen, vermutlich in 2022.

Sektor Entsorgung

Offen ist noch eine genaue Definition der kritischen Dienstleistung, KRITIS-Anlagen und Schwellenwerte des neuen Sektors KRITIS Siedlungsabfallentsorgung.

up

Weitere Informationen

Literatur

  1. IT-Sicherheitsgesetz 2.0 auf OpenKRITIS
  2. IT-Sicherheitsgesetz: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht, Beck-Community, 27.4.2021
  3. Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022, heise online 08/2021
  4. Fragen und Antworten zur 2. Änderungs­verordnung der BSI-Kritisverordnung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  5. Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.08.2022

Quellen

  1. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
  2. Zweite Verordnung zur Änderung der BSI-Kritisverordnung, Bundesministeriums des Innern, o.D. (Mirror IHK Braunschweig), 18.8.21
  3. Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
  4. Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
  5. Zweites Gesetz zur Erhöhung der Sicherheit informations­technischer Systeme, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021