KRITIS-Verordnung 2021 und 2023
Die KRITIS-Rechtsverordnung (BSI-KritisV) konkretisiert das IT-Sicherheitsgesetz und definiert Schwellenwerte und Anlagen bei Betreibern. Die Bundesregierung hat nach dem IT-Sicherheitsgesetz 2.0 die KRITIS-Verordnung mehrfach geändert — die KRITIS-Verordnung 2021 (1.5), ergänzt durch eine weitere Änderung in 2023.
Die KRITIS-Verordnungen von 2021 und 2023 ändern die KRITIS-Regulierung:
- Schwellenwerte: Anpassungen der Schwellenwerte von KRITIS-Anlagen
- Anlagen: Neue und geänderte KRITIS-Anlagen in bestehenden Sektoren 2021
- Neue Anlagen: Ergänzung neuer Anlagen und Infrastrukturen 2023
Die KRITIS-Verordnung 2021 ist die 2. Verordnung zur Änderung der BSI-Kritisverordnung aus Januar 2022, die KRITIS-Verordnung 2023 ist die 3. Verordnung zur Änderung der BSI-Kritisverordnung aus März 2023. Beide ändern die KRITIS-Anlagen. Weitere Änderungen aus dem IT-Sicherheitsgesetz 2.0 und EU NIS 2 und CER stehen noch aus.
Neuerungen
KRITIS-Verordnung 2023
Die KRITIS-Verordnung 2023 ändert einige zusätzliche Anlagen zu 2021:
- Energie: Neue Anlage für flüssiges Erdgas (LNG-Anlage) in 2023
- IT: Neue Anlage zur Anbindung von Seekabeln von Kommunikationsnetzen in 2023
Die Fristen für die geänderte KRITIS-Verordnung 2023 sind:
- Die 2023er Verordnung tritt am 2.3.2023 in Kraft
- Neue Anlagen, die Schwellenwerte überschreiten, müssen zum 31.3 oder 1.4. identifiziert und dann registriert werden
KRITIS-Verordnung 2021
Die neue KRITIS-Verordnung 2021 senkt einige Schwellenwerte und ergänzt und ändert die KRITIS-Anlagen 2021, mit zusätzlichen ⚡ Änderungen in 2023:
- Energie und Strom: Schwellenwerte in der Stromerzeugung und Handel sinken, einige Anlagen ändern sich und kommen hinzu, u.a. Strom, Gas; Schwellenwerte ändern sich.
- IT: Die Schwellenwerte von Rechenzentren, Cloud (Serverfarmen) und IXP sinken deutlich, Domain-Registries (TLD) kommen als Anlage dazu.
- Finanzen und Versicherung: Die bisher mehrfach vorhandenen Anlagen pro Versicherungsträger werden vereinfacht, neue kommen im Wertpapierhandel hinzu.
- Transport: Für Logistiker sind Sendungen nun auch ein Schwellenwert, bei Häfen, Flughäfen und Fluggesellschaften kommen neue Anlagen in der Leitung hinzu, im Straßenverkehr das Intelligente Verkehrssystem. Einige Schwellenwerte werden angepasst.
- ÖPNV: Die Anlage Verkehrssteuerungs- und Leitsystem des ÖPNV wird gestrichen, übrig bleiben ÖSPV-Anlagen — die nach §4 Abs. 1-3 PBefG wohl auch U-Bahnen umfassen. Der Schwellenwert wurde redaktionell angepasst auf Fahrgastfahrten, bleibt sonst gleich.
- Gesundheit: Bei Laboren werden die Anlagen Transportsystem und Kommunikationssystem für Aufträge/Befunde im Laborinformationsverbund zusammengefasst.
- Entsorgung und UBI: Der neue KRITIS-Sektor Entsorgung fehlt noch im Entwurf, ebenso die Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI). Möglicherweise werden beide in einer weiteren oder separaten Änderungsverordnung definiert.
Ebenso konkretisiert die KritisV 1.5 Definitionen rund um Anlagen und ihrer IT in §1:
- IT: Die Anlagen umfassen bzw. beinhalten neben Betriebsstätten, Einrichtungen und Geräten explizit die Software und IT-Dienste,
die für die Erbringung notwendig sind.
- Anlagen: Mehrere Anlagen in einem betriebstechnischen Zusamenhang für dieselbe kritische Dienstleistung gelten als eine Anlage.
- Betreiber: Werden Anlagen von mehreren Betreibern betrieben, sind alle für die Erfüllung der KRITIS-Pflichten verantwortlich.
Die Fristen durch die KRITIS-Verordnung 2021 sind:
- Die 2021er Verordnung ist am 1. Januar 2022 in Kraft getreten
- Neue und alte Anlagen, die die (neuen) Schwellenwerte 2021 überschreiten, müssen spätestens zum 1. April 2022 registriert werden
- Umsetzung von Cyber Security Maßnahmen nach §8a BSIG zum 1. April 2022
- Nachweis der Umsetzung durch KRITIS-Prüfungen spätestens zum 1. April 2024
Angepasste Schwellenwerte
Einige Schwellenwerte bestehender Anlagen werden in der KRITIS-Verordnung 2021 (1.5) angepasst, ebenfalls kommen neue hinzu.
Sinkende Schwellenwerte ↓
| Sektor | Anlage | Alt | Neu |
|---|---|---|---|
| Energie | Erzeugungsanlage | 420 | 104/0/36 MW Leistung |
| Energie | Steuerung/Bündelung | 420 | 104/0/36 MW Leistung |
| Energie | Stromhandel | 200 TWh | 3700 GWh |
| IT | IXP | 300 | 100 angeschlossene AS |
| IT | Rechenzentren | 5 | 3,5 MW Leistung |
| IT | Serverfarmen | 25 | 10/15 Tsd. Instanzen |
Steigende Schwellenwerte ↑
Der Schwellenwert der Logistik-Anlagen steigt anscheinend auf 17,55 Mio. Tonnen Güter.
Neue Schwellenwerte ⚡
| Sektor | Bereich | Neu |
|---|---|---|
| Energie | Öl | 63,7 Tsd. t Flugkraftstoff |
| Transport | Logistik | 53,2 Mio. Sendungen |
Änderungen an Anlagen
Die KRITIS-Verordnung 2021 definiert eine Reihe neuer KRITIS-Anlagen bei KRITIS-Betreibern und streicht bzw. fasst zusammen. Die Änderung in 2023 ⚡ fügt zwei weitere Anlagen hinzu.
Neue Anlagen
| Sektor | Bereich | Neu |
|---|---|---|
| Energie | Gas | Zentrale Steuerung |
| Energie | Gas | Gasgrenzübergabestelle |
| Energie | Gas | Gashandel |
| Energie | Gas | ⚡ LNG-Anlage |
| Energie | Öl | Zentrale Steuerung (Förderung) |
| Energie | Öl | Kommerzielle Steuerung (Handel) |
| Energie | Fernwärme | Zentrale Steuerung |
| Gesundheit | Labore | Laborinformationsverbund |
| IT | Übertragung | ⚡ Seekabelanlandestation |
| IT | Steuerung | TLD-Registry |
| Transport | Flugverkehr | Flughafenleitungsorgan |
| Transport | Flugverkehr | Verkehrszentrale Fluggesellschaft |
| Transport | Schiffahrt | Hafenleitungsorgan |
| Transport | Schiffahrt | Hafenbetrieb |
| Transport | Schiffahrt | Umschlaganlage |
| Transport | Straßenverkehr | Intelligentes Verkehrssystem |
| Finanzen | Wertpapiere | Erzeugen von Aufträgen zum Handel |
| Finanzen | Wertpapiere | Handelsplatz |
| Finanzen | Wertpapiere | Sonst. Depotführung |
| Entsorgung | noch nicht definiert |
Wegfallende Anlagen ✗
| Sektor | Bereich | Fällt weg |
|---|---|---|
| Energie | Strom | Erzeugungsanlage mit Wärmeauskopplung Dez. Erzeugungsanlage Speicheranlage Messtelle |
| Gesundheit | Labordiagnostik | Transportsystem |
| Gesundheit | Labordiagnostik | Kommunikationssystem Auftrags-/Befundübermittlung |
| Transport | ÖPNV | Verkehrssteuerungs- und Leitsystem ÖPNV |
Neue Betreiber
Die neuen Schwellenwerte und Anlagendefinitionen haben Auswirkungen auf die Wirtschaft. Die Verordnung schätzt im Jahr 2023 insgesamt etwa 1.500 KRITIS-Anlagen, nachdem in 2021 von 252 zusätzlichen KRITIS-Betreibern zu knapp 1.600 bestehenden ausgegangen wurde.
Die 2021er-Schätzung:
- Energie: 131 Betreiber in der Stromerzeugung dazu, 12 bei Gas, 4 bei Mineralöl
- Gesundheit: keine Zahlen im Entwurf
- Transport: 6 neue Betreiber im Luftverkehr, 34 in der Schifffahrt, 34 im Straßenverkehr (Intelligentes Verkehrssystem), keine Änderungen im ÖPNV
- IT und TK: 3 neue IXPs, 7 neue RZ-Betreiber
- Finanz- und Versicherungen: 21 neue Betreiber im Handel
- Weitere Sektoren: keine Zahlen im Entwurf
- Siedlungsabfallentsorgung: keine Zahlen im Entwurf
- UBI: keine Zahlen im Entwurf
In 2023 werden elf zusätzliche Anlagen geschätzt, acht in Energie und drei in IT/TK.
Offene Themen
Einige Themen aus dem IT-Sicherheitsgesetz 2.0 werden noch in weiteren Verordnungen durch die KritisV 2.0 und UBI-VO definiert:
Der KRITIS-Sektor Siedlungsabfallentsorgung wird in einer neuen KRITIS-Verordnung 2.0 seit 2022 erarbeitet, mit Entwurf und Inkrafttreten wahrscheinlich in 2023. Offen sind ebenfalls die genauen UBI-Regeln, die in einer UBI-Verordnung (UBI-VO) definiert werden sollen.
Unternehmen im besonderen öffentlichen Interesse
Offen sind noch konkretere Definitionen der neuen betroffenen Unternehmen, UBI, deren Schwellenwerte und Identifikationsmechanismen. Dies soll in einer separation UBI-Verordnung, UBI-VO, erfolgen, wahrscheinlich in 2023.
Sektor Entsorgung
Offen ist noch eine genaue Definition der kritischen Dienstleistung, KRITIS-Anlagen und Schwellenwerte des neuen Sektors KRITIS Siedlungsabfallentsorgung, wahrscheinlich in 2023.
Weitere Informationen
Literatur
- IT-Sicherheitsgesetz 2.0 auf OpenKRITIS
- IT-Sicherheitsgesetz: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht, Beck-Community, 27.4.2021
- Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022, heise online 08/2021
- Fragen und Antworten zur 2. Änderungsverordnung der BSI-Kritisverordnung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
Quellen
- Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
- Zweite Verordnung zur Änderung der BSI-Kritisverordnung, Bundesministeriums des Innern, o.D. (Mirror IHK Braunschweig), 18.8.21
- Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
- Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
- Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021