KRITIS-Verordnungen

Die KRITIS-Rechtsverordnung (BSI-KritisV) konkretisiert die Vorgaben aus dem BSI-Gesetz und definiert Schwellenwerte und Anlagen bei Betreibern. Die KRITIS-Methodik und Konkretisierung der Anlagen werden in der Verordnung (und nicht im Gesetz) definiert.

Es gab seit der ersten KRITIS-Verordnung vier separate Änderungsverordnungen, die Schwellenwerte und Anlagen änderten und an die Umstände anpassten.

Verordnung und Jahr In Kraft Änderungen
4. Änderung 2023 1.1.2024 Entsorgung neu
einige Schwellenwerte
3. Änderung 2023 2.3.2023 Neue Anlagen Energie/IT
2. Änderung 2021 1.1.2022 IT-Sicherheitsgesetz 2.0
viele neue Anlagen
gesunkene Schwellenwerte
1. Änderung 2017 30.6.2017 IT-Sicherheitsgesetz 1.0
Sektoren 2. Korb
1. Version 2016 3.5.2016 IT-Sicherheitsgesetz 1.0
Sektoren 1. Korb

Weitere Änderungen für NIS2 und KRITIS-Dachgesetz stehen bis 2024 noch aus.

Neuerungen 2023

Vierte Änderung KRITIS-Verordnung

In 2023 gab es zwei KRITIS-Verordnungen: die dritte (März) und vierte (Dezember) Änderungsverordnungen, die jeweils Anlagen hinzufügen. Die vierte KRITIS-Verordnung fügt ab 2024 zusätzliche Anlagen zur KRITIS-Regulierung hinzu:

Sektor Anlage Alt
Siedlungsabfallentsorgung Neue Anlagen (2) in Sammlung und Beförderung
Neue Anlagen (5) in Verwertung und Beseitigung
-
Energie Anpassung Name Gas/Kapazitätshandel Gashandel

Sinkende Schwellenwerte ↓

Die Verordnung ändert weiterhin einige Schwellenwerte:

Sektor Anlage Alt Neu
Versicherung Verwaltungs- und Zahlungssystem GKV/PV 3 Mio. 500 Tsd Versicherte

Die Fristen für die vierte KRITIS-Verordnung mit Entwurf 2023 sind:

up

Dritte Änderung KRITIS-Verordnung

Die dritte KRITIS-Verordnung (März 2023) fügt zusätzliche Anlagen zur KRITIS-Regulierung hinzu:

Die Fristen für die geänderte KRITIS-Verordnung von März 2023 sind:

up

Neuerungen 2021

Zweite Änderung KRITIS-Verordnung

Die zweite Änderungsverordnung von 2021 senkt nach dem IT-Sicherheitsgesetz 2.0 einige Schwellenwerte und ergänzt und ändert die KRITIS-Anlagen 2021:

Ebenso konkretisiert die KritisV 1.5 Definitionen rund um Anlagen und ihrer IT in §1:

Die Fristen durch die KRITIS-Verordnung 2021 sind:

up

Angepasste Schwellenwerte

Einige Schwellenwerte bestehender Anlagen werden in der KRITIS-Verordnung 2021 (1.5) angepasst, ebenfalls kommen neue hinzu.

Sinkende Schwellenwerte ↓

Sektor Anlage Alt Neu
Energie Erzeugungsanlage 420 104/0/36 MW Leistung
Energie Steuerung/Bündelung 420 104/0/36 MW Leistung
Energie Stromhandel 200 TWh 3700 GWh
IT IXP 300 100 angeschlossene AS
IT Rechenzentren 5 3,5 MW Leistung
IT Serverfarmen 25 10/15 Tsd. Instanzen

Steigende Schwellenwerte ↑

Der Schwellenwert der Logistik-Anlagen steigt anscheinend auf 17,55 Mio. Tonnen Güter.

Neue Schwellenwerte ⚡

Sektor Bereich Neu
Energie Öl 63,7 Tsd. t Flugkraftstoff
Transport Logistik 53,2 Mio. Sendungen

up

Änderungen an Anlagen

Die KRITIS-Verordnung 2021 definiert eine Reihe neuer KRITIS-Anlagen bei KRITIS-Betreibern und streicht bzw. fasst zusammen. Die Änderung in 2023 ⚡ fügt zwei weitere Anlagen hinzu.

Neue Anlagen

Sektor Bereich Neu
Energie Gas Zentrale Steuerung
Energie Gas Gasgrenzübergabestelle
Energie Gas Gashandel
Energie Gas LNG-Anlage
Energie Öl Zentrale Steuerung (Förderung)
Energie Öl Kommerzielle Steuerung (Handel)
Energie Fernwärme Zentrale Steuerung
Gesundheit Labore Laborinformationsverbund
IT Übertragung Seekabelanlandestation
IT Steuerung TLD-Registry
Transport Flugverkehr Flughafenleitungsorgan
Transport Flugverkehr Verkehrszentrale Fluggesellschaft
Transport Schiffahrt Hafenleitungsorgan
Transport Schiffahrt Hafenbetrieb
Transport Schiffahrt Umschlaganlage
Transport Straßenverkehr Intelligentes Verkehrssystem
Finanzen Wertpapiere Erzeugen von Aufträgen zum Handel
Finanzen Wertpapiere Handelsplatz
Finanzen Wertpapiere Sonst. Depotführung
Entsorgung noch nicht definiert

Wegfallende Anlagen ✗

Sektor Bereich Fällt weg
Energie Strom Erzeugungsanlage mit Wärmeauskopplung
Dez. Erzeugungsanlage
Speicheranlage
Messtelle
Gesundheit Labordiagnostik Transportsystem
Gesundheit Labordiagnostik Kommunikationssystem Auftrags-/Befundübermittlung
Transport ÖPNV Verkehrssteuerungs- und Leitsystem ÖPNV

up

Neue Betreiber

Die neuen Schwellenwerte und Anlagendefinitionen haben Auswirkungen auf die Wirtschaft. Die Verordnung schätzt im Jahr 2023 insgesamt etwa 1.500 KRITIS-Anlagen, nachdem in 2021 von 252 zusätzlichen KRITIS-Betreibern zu knapp 1.600 bestehenden ausgegangen wurde.

Die 2021er-Schätzung:

In 2023 werden elf zusätzliche Anlagen geschätzt, acht in Energie und drei in IT/TK.

up

Offene Themen

Einige Themen aus dem IT-Sicherheitsgesetz 2.0 werden noch in weiteren Verordnungen durch die KritisV 2.0 und dem NIS2UmsuCG definiert:

Der KRITIS-Sektor Siedlungs­abfallentsorgung wird in einer neuen KRITIS-Verordnung 2.0 seit 2022 erarbeitet, mit Entwurf und Inkrafttreten wahrscheinlich in 2023. Aller Voraussicht nach, entfallen mit dem NIS2UmsuCG die Unternehmen im besonderen öffentlichen Interesse. Stattdessen werden sie in wichtige und teils auch besonders wichtige Einrichtungen integriert.

Sektor Entsorgung

Offen ist noch eine genaue Definition der kritischen Dienstleistung, KRITIS-Anlagen und Schwellenwerte des neuen Sektors KRITIS Siedlungsabfallentsorgung, wahrscheinlich in 2023.

up

Weitere Informationen

Literatur

  1. IT-Sicherheitsgesetz 2.0 auf OpenKRITIS
  2. IT-Sicherheitsgesetz: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht, Beck-Community, 27.4.2021
  3. Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022, heise online 08/2021
  4. Fragen und Antworten zur 2. Änderungs­verordnung der BSI-Kritisverordnung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  5. Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022

Quellen

  1. Vierte Verordnung zur Änderung der BSI-Kritisverordnung vom 29. November 2023, BGBl. 2023 I Nr. 339 vom 06.12.2023
  2. Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
  3. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 29. November 2023 (BGBl. 2023 I Nr. 339) geändert worden ist
  4. Zweite Verordnung zur Änderung der BSI-Kritisverordnung, Bundesministeriums des Innern, o.D. (Mirror IHK Braunschweig), 18.8.21
  5. Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
  6. Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
  7. Zweites Gesetz zur Erhöhung der Sicherheit informations­technischer Systeme, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021