Die neue KRITIS-Verordnung 2.0

Eine Rechtsverordnung konkretisiert das IT-Sicherheitsgesetz 2.0 und beschreibt die Schwellenwerte, Anlagen und Vorgaben zur Umsetzung. Das Bundeskabinett hat am 18. August 2021 die KRITIS-Verordnung 2.0 beschlossen, die Zweite Verordnung zur Änderung der BSI-Kritisverordnung tritt am 1. Januar 2022 in Kraft.

Die neuen Definitionen umfassen anscheinend die bereits bekannten 2021er Änderungen der KRITIS-Anlagen und Schwellenwerte; dagegen bleiben die Anlagen und Schwellenwerte des Sektors Siedlungs­abfallentsorgung und der UBI/UNBÖFI Gruppe 2 Volkswirtschaft noch offen.

KritisV 2.0 Neuerungen

Zusammenfassung

Die neue KRITIS-Verordnung 2.0 senkt einige Schwellenwerte und ergänzt und ändert die KRITIS-Anlagen 2.0, mit folgenden Änderungen:

Ebenso konkretisiert die KritisV 2.0 Definitionen rund um Anlagen und ihrer IT in §1:

Stand: Entwurf der KRITIS-Verordnung vom 22.4.2021

up

Angepasste Schwellenwerte

Einige Schwellenwerte bestehender Anlagen werden in der KRITIS-Verordnung 2.0 angepasst, ebenfalls kommen neue hinzu.

Sinkende Schwellenwerte ↓

Sektor Anlage Alt Neu
Energie Erzeugungsanlage 420 36 MW Leistung
Energie Stromhandel 200 TWh 3700 GWh
IT IXP 300 100 angeschlossene AS
IT Rechenzentren 5 3,5 MW Leistung
IT Serverfarmen 25 10/15 Tsd. Instanzen

Steigende Schwellenwerte ↑

Der Schwellenwert der Logistik-Anlagen steigt anscheinend auf 17,55 Mio. Tonnen Güter.

Neue Schwellenwerte ⚡

Sektor Bereich Neu
Energie Öl 63,7 Tsd. t Flugkraftstoff
Transport Logistik 53,2 Mio. Sendungen

up

Änderungen an Anlagen

Die KRITIS-Verordnung 2.0 definiert eine Reihe neuer KRITIS-Anlagen bei KRITIS-Betreibern und streicht bzw. fasst andere zusammen.

Neue Anlagen ⚡

Sektor Bereich Neu
Energie Gas Zentrale Steuerung
Energie Gas Gasgrenzübergabestelle
Energie Gas Gashandel
Energie Öl Zentrale Steuerung (Förderung)
Energie Öl Kommerzielle Steuerung (Handel)
Energie Fernwärme Zentrale Steuerung
Gesundheit Labore Laborinformationsverbund
IT Steuerung TLD-Registry
Transport Flugverkehr Flughafenleitungsorgan
Transport Flugverkehr Verkehrszentrale Fluggesellschaft
Transport Schiffahrt Hafenleitungsorgan
Transport Schiffahrt Hafenbetrieb
Transport Schiffahrt Umschlaganlage
Transport Straßenverkehr Intelligentes Verkehrssystem
Finanzen Wertpapiere Erzeugen von Aufträgen zum Handel
Finanzen Wertpapiere Handelsplatz
Finanzen Wertpapiere Sonst. Depotführung
Entsorgung noch nicht definiert

Wegfallende Anlagen ✗

Sektor Bereich Fällt weg
Energie Strom Erzeugungsanlage mit Wärmeauskopplung
Dez. Erzeugungsanlage
Speicheranlage
Messtelle
Gesundheit Labordiagnostik Transportsystem
Gesundheit Labordiagnostik Kommunikationssystem Auftrags-/Befundübermittlung
Transport ÖPNV Verkehrssteuerungs- und Leitsystem ÖPNV

up

Neue Betreiber

Die neuen Schwellenwerte und Anlagendefinitionen haben Auswirkungen auf die Wirtschaft. Die Verordnung schätzt 252 zusätzliche KRITIS-Betreiber zu den knapp 1.600 bestehenden (Stand August 2021)

up

Offene Themen

Einige Themen aus dem IT-Sicherheitsgesetz 2.0 müssen noch in weiteren Rechts- oder Änderungs­verordnungen definiert werden:

Unternehmen im besonderen öffentlichen Interesse

Offen sind noch konkretere Definitionen der neuen betroffenen Unternehmen, UBI/UNBÖFI, deren Schwellenwerte und Identifikations­mechanismen. Dies soll in einer separation UBI-Verordnung, UBI-VO, erfolgen, vermutlich in 2022.

Sektor Entsorgung

Offen ist noch eine genaue Definition der kritischen Dienstleistung, KRITIS-Anlagen und Schwellenwerte des neuen Sektors KRITIS Siedlungsabfallentsorgung.

up

Weitere Informationen

Literatur

  1. IT-Sicherheitsgesetz 2.0 auf OpenKRITIS
  2. IT-Sicherheitsgesetz: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht, Beck-Community, 27.4.2021
  3. Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022, heise online 08/2021

Quellen

  1. Zweite Verordnung zur Änderung der BSI-Kritisverordnung, Bundesministeriums des Innern, o.D. (Mirror IHK Braunschweig), 18.8.21
  2. Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
  3. Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
  4. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  5. Zweites Gesetz zur Erhöhung der Sicherheit informations­technischer Systeme, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021