KRITIS-Verordnungen
Die KRITIS-Rechtsverordnung (BSI-KritisV) konkretisiert die Vorgaben aus dem BSI-Gesetz und definiert Schwellenwerte und Anlagen bei Betreibern. Die KRITIS-Methodik und Konkretisierung der Anlagen werden in der Verordnung (und nicht im Gesetz) definiert.
- Schwellenwerte: Anpassungen der Schwellenwerte von KRITIS-Anlagen
- Anlagen: Neue und geänderte KRITIS-Anlagen in bestehenden Sektoren 2021
- Neue Anlagen: Ergänzung neuer Anlagen und Infrastrukturen 2023
Es gab seit der ersten KRITIS-Verordnung vier separate Änderungsverordnungen, die Schwellenwerte und Anlagen änderten und an die Umstände anpassten.
| Verordnung und Jahr | In Kraft | Änderungen |
|---|---|---|
| NIS2-Änderung 2025 | Entwurf | Finanzweisen anders Sozialversicherungen neu Digitale Energiedienste |
| 4. Änderung 2023 | 1.1.2024 | Entsorgung neu einige Schwellenwerte |
| 3. Änderung 2023 | 2.3.2023 | Neue Anlagen Energie/IT |
| 2. Änderung 2021 | 1.1.2022 | IT-Sicherheitsgesetz 2.0 viele neue Anlagen gesunkene Schwellenwerte |
| 1. Änderung 2017 | 30.6.2017 | IT-Sicherheitsgesetz 1.0 Sektoren 2. Korb |
| 1. Version 2016 | 3.5.2016 | IT-Sicherheitsgesetz 1.0 Sektoren 1. Korb |
Der Entwurf der NIS2-Umsetzung von Ende 2025 enthält eine geänderte Fassung der bisherigen BSI-Kritisverordnung für NIS2. Mit NIS2 wird möglicherweise keine neue Rechtsverordnung zur Bestimmung kritischer Anlagen erlassen, sondern die bisherige angepasst.
Neuerungen 2025
NIS2-Änderung KRITIS-Verordnung
Mit dem Entwurf der NIS2-Umsetzung von Mai 2025 enthält das Umsetzungsgesetz nun im Gesetz selbst Änderungen an der KRITIS-Verordnung. Art. 8
Sektoren
| Sektor | Änderung |
|---|---|
| IT und TK | nun Digitale Infrastruktur |
| Finanzwesen | ✗ Fällt weg: Versicherungswesen |
| Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende |
Neuer Sektor |
Anlagen
| Sektor | Bereich | Änderung |
|---|---|---|
| Energie | Strom | Anlage Digitaler Energiedienst anstatt Steuerung/Bündelung elektrischer Leistung |
| Finanzwesen | Sozialversicherung | ✗ Fällt weg: Alle Anlagen Nr. 5 (Sozialversicherung) |
| Sozialversicherungsträger | Sozialversicherung Grundsicherung |
Neue Anlagen: Verwaltungs- und Zahlungssystem der gesetzlichen Kranken- und Pflegeversicherung Leistungssystem Auszahlungssystem |
Neuerungen 2023
Vierte Änderung KRITIS-Verordnung
In 2023 gab es zwei KRITIS-Verordnungen: die dritte (März) und vierte (Dezember) Änderungsverordnungen, die jeweils Anlagen hinzufügen. Die vierte KRITIS-Verordnung fügt ab 2024 zusätzliche Anlagen zur KRITIS-Regulierung hinzu:
| Sektor | Anlage | Alt |
|---|---|---|
| Siedlungsabfallentsorgung | Neue Anlagen (2) in Sammlung und Beförderung Neue Anlagen (5) in Verwertung und Beseitigung |
- |
| Energie | Anpassung Name Gas/Kapazitätshandel | Gashandel |
Sinkende Schwellenwerte ↓
Die Verordnung ändert weiterhin einige Schwellenwerte:
| Sektor | Anlage | Alt | Neu | |
|---|---|---|---|---|
| Versicherung | Verwaltungs- und Zahlungssystem GKV/PV | 3 Mio. | ↓ | 500 Tsd Versicherte |
Die Fristen für die vierte KRITIS-Verordnung mit Entwurf 2023 sind:
- Veröffentlich 6.12.2023
- Inkrafttreten 1.1.2024
Dritte Änderung KRITIS-Verordnung
Die dritte KRITIS-Verordnung (März 2023) fügt zusätzliche Anlagen zur KRITIS-Regulierung hinzu:
| Sektor | Anlage | Alt |
|---|---|---|
| Energie | Neue Anlage für flüssiges Erdgas (LNG-Anlage) | - |
| IT und TK | Neue Anlage zur Anbindung von Seekabeln von Kommunikationsnetzen | - |
Die Frist für die geänderte KRITIS-Verordnung von März 2023 war 2.3.2023.
Neuerungen 2021
Zweite Änderung KRITIS-Verordnung
Die zweite Änderungsverordnung von 2021 senkt nach dem IT-Sicherheitsgesetz 2.0 einige Schwellenwerte und ergänzt und ändert die KRITIS-Anlagen 2021.
Neue Anlagen
| Sektor | Bereich | Neu |
|---|---|---|
| Energie | Gas | Zentrale Steuerung |
| Energie | Gas | Gasgrenzübergabestelle |
| Energie | Gas | Gashandel |
| Energie | Öl | Zentrale Steuerung (Förderung) |
| Energie | Öl | Kommerzielle Steuerung (Handel) |
| Energie | Fernwärme | Zentrale Steuerung |
| Gesundheit | Labore | Laborinformationsverbund |
| IT | Steuerung | TLD-Registry |
| Transport | Flugverkehr | Flughafenleitungsorgan |
| Transport | Flugverkehr | Verkehrszentrale Fluggesellschaft |
| Transport | Schiffahrt | Hafenleitungsorgan |
| Transport | Schiffahrt | Hafenbetrieb |
| Transport | Schiffahrt | Umschlaganlage |
| Transport | Straßenverkehr | Intelligentes Verkehrssystem |
| Finanzen | Wertpapiere | Erzeugen von Aufträgen zum Handel |
| Finanzen | Wertpapiere | Handelsplatz |
| Finanzen | Wertpapiere | Sonst. Depotführung |
| Entsorgung | noch nicht definiert |
Wegfallende Anlagen ✗
| Sektor | Bereich | Fällt weg |
|---|---|---|
| Energie | Strom | Erzeugungsanlage mit Wärmeauskopplung Dez. Erzeugungsanlage Speicheranlage Messtelle |
| Gesundheit | Labordiagnostik | Transportsystem |
| Gesundheit | Labordiagnostik | Kommunikationssystem Auftrags-/Befundübermittlung |
| Transport | ÖPNV | Verkehrssteuerungs- und Leitsystem ÖPNV |
Sinkende Schwellenwerte ↓
Einige Schwellenwerte bestehender Anlagen werden in der KRITIS-Verordnung 2021 (1.5) angepasst, ebenfalls kommen neue hinzu.
| Sektor | Anlage | Alt | Neu |
|---|---|---|---|
| Energie | Erzeugungsanlage | 420 | 104/0/36 MW Leistung |
| Energie | Steuerung/Bündelung | 420 | 104/0/36 MW Leistung |
| Energie | Stromhandel | 200 TWh | 3700 GWh |
| IT | IXP | 300 | 100 angeschlossene AS |
| IT | Rechenzentren | 5 | 3,5 MW Leistung |
| IT | Serverfarmen | 25 | 10/15 Tsd. Instanzen |
Der Schwellenwert von Logistik-Anlagen steigt anscheinend auf 17,55 Mio. Tonnen Güter und es gibt weiterhin neue Schwellenwerte:
| Sektor | Bereich | Neu |
|---|---|---|
| Energie | Öl | 63,7 Tsd. t Flugkraftstoff |
| Transport | Logistik | 53,2 Mio. Sendungen |
Definitionen
Die Verordnung konkretisiert Definitionen rund um Anlagen und ihrer IT in §1:
- IT: Die Anlagen umfassen bzw. beinhalten neben Betriebsstätten, Einrichtungen und Geräten explizit die Software und IT-Dienste,
die für die Erbringung notwendig sind.
- Anlagen: Mehrere Anlagen in einem betriebstechnischen Zusamenhang für dieselbe kritische Dienstleistung gelten als eine Anlage.
- Betreiber: Werden Anlagen von mehreren Betreibern betrieben, sind alle für die Erfüllung der KRITIS-Pflichten verantwortlich.
Die Fristen durch die KRITIS-Verordnung 2021 sind:
- Die 2021er Verordnung ist am 1. Januar 2022 in Kraft getreten
- Neue und alte Anlagen, die die (neuen) Schwellenwerte 2021 überschreiten, müssen spätestens zum 1. April 2022 registriert werden
- Umsetzung von Cyber Security Maßnahmen nach §8a BSIG zum 1. April 2022
- Nachweis der Umsetzung durch KRITIS-Prüfungen spätestens zum 1. April 2024
Neue Betreiber
Die neuen Schwellenwerte und Anlagendefinitionen haben Auswirkungen auf die Wirtschaft. Die Verordnung schätzt im Jahr 2023 insgesamt etwa 1.500 KRITIS-Anlagen, nachdem in 2021 von 252 zusätzlichen KRITIS-Betreibern zu knapp 1.600 bestehenden ausgegangen wurde.
Die 2021er-Schätzung:
- Energie: 131 Betreiber in der Stromerzeugung dazu, 12 bei Gas, 4 bei Mineralöl
- Gesundheit: keine Zahlen im Entwurf
- Transport: 6 neue Betreiber im Luftverkehr, 34 in der Schifffahrt, 34 im Straßenverkehr (Intelligentes Verkehrssystem), keine Änderungen im ÖPNV
- IT und TK: 3 neue IXPs, 7 neue RZ-Betreiber
- Finanz- und Versicherungen: 21 neue Betreiber im Handel
- Weitere Sektoren: keine Zahlen im Entwurf
- Siedlungsabfallentsorgung: keine Zahlen im Entwurf
- UBI: keine Zahlen im Entwurf
In 2023 wurden elf zusätzliche Anlagen geschätzt, acht in Energie und drei in IT/TK.
Weitere Informationen
Literatur
- IT-Sicherheitsgesetz 2.0 auf OpenKRITIS
- IT-Sicherheitsgesetz: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht, Beck-Community, 27.4.2021
- Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022, heise online 08/2021
- Fragen und Antworten zur BSI-Kritisverordnung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- KRITIS-Sektor Siedlungsabfallentsorgung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Quellen
- Vierte Verordnung zur Änderung der BSI-Kritisverordnung vom 29. November 2023, BGBl. 2023 I Nr. 339 vom 06.12.2023
- Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 29. November 2023 (BGBl. 2023 I Nr. 339) geändert worden ist
- Zweite Verordnung zur Änderung der BSI-Kritisverordnung, Bundesministeriums des Innern, o.D. (Mirror IHK Braunschweig), 18.8.21
- Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
- Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
- Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021