Sozialversicherung
Im Sektor Sozialversicherungen versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit der kritischen Dienstleistung Sozialversicherung sowie Grundsicherung für Arbeitsuchende. Diese regulierten Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS. Der Sektor wurde 2025 durch NIS2 aus Finanzwesen und Versicherung herausgetrennt.
KRITIS-Betreiber erbringen ihre kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 potenziell um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmensgrößen überschreiten.
| Nr. | Unternehmen | Scope |
|---|---|---|
| Betreiber kritischer Anlagen | Anlage über Schwellenwert (KRITIS) | |
| Der Sektor teilt sich mit NIS2 in zwei Sektoren auf Finanzwesen und Sozialversicherung/Grundsicherung | ||
| Besonders wichtige Einrichtung | Unternehmen (NIS2)
|
|
| Wichtige Einrichtung | Unternehmen (NIS2)
|
|
| NIS2-Einrichtungen in der Sozialversicherung sind nicht eigenständig definiert. | ||
Regulierte Pflichten
NIS2 und KRITIS
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung. Die Gesetze werden wohl verspätet Ende 2025 in Kraft treten. Für Betreiber kritischer Anlagen, ehemals KRITIS, und die neuen Einrichtungen kommen viele neue Pflichten hinzu.
| Thema | Betreiber kritischer Anlagen (KRITIS) | Einrichtungen | |
|---|---|---|---|
| Gesetz | NIS2-Umsetzung | KRITIS-Dachgesetz | NIS2-Umsetzung |
| Fristen | ab 2026 | ab 2027 | ab 2026 |
| Scope | Kritische Anlage | Kritische Anlage | Unternehmen |
| Pflichten | Registrierung Vorfallsmeldungen Kundenmeldungen Sanktionen Prüfungen |
Registrierung Vorfallsmeldungen Sanktionen |
Registrierung Vorfallsmeldungen Kundenmeldungen Sanktionen |
| Maßnahmen | Informationssicherheit Risikomanagement IT-Sicherheit Angriffserkennung SzA |
Resilienz Risikomanagement Physische Sicherheit |
Informationssicherheit Risikomanagement IT-Sicherheit |
| Nachweise | Prüfungen | Teil von Audits | Stichproben |
| Regulator | BSI | BBK, BA | BSI |
Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.
KRITIS
Kritische Anlagen
Der Sektor teilt sich mit NIS2 ab vorraussichtlich 2026 in zwei Sektoren auf, in Finanzwesen und Sozialversicherung/Grundsicherung. Die früheren Anlagen 5, 5.1, 5.1.1, 5.1.2, 5.1.3, 5.1.4, 5.2, 5.2.1, 5.2.2 und 5.2.3 fallen weg und werden durch die folgenden im Sektor Sozialversicherungen ersetzt.
| Nr. | Anlage | Beschreibung | Schwellenwert (pro Jahr) | |
|---|---|---|---|---|
| 1. | Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitssuchende | |||
| 1.1.1 | Verwaltungs- und Zahlungssystem GKV und PV | integriertes Anwendungssystem im Bereich der gesetzlichen Kranken- und Pflegeversicherung | 500 Tsd. | Versicherte |
| 1.1.2 | Leistungssystem | integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsrechtlichen Entgeltersatzleistungen der gesetzlichen Renten-, Unfall- und Arbeitslosenversicherung | 500 Tsd. 500 Tsd. 500 Tsd. | Leistungsfälle UV/AV Versicherungskonten RV Leistungsfälle Grundsicherung |
| 1.1.3 | Auszahlungssystem | Auszahlung der Leistungen, Entschädigung oder Versicherungsleistung an Zahlungsempfänger | 500 Tsd. 500 Tsd. 500 Tsd. | Leistungsfälle UV/AV Versicherungskonten RV Leistungsfälle Grundsicherung |
Schwellenwerte
Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert, für den Sektor Sozialversicherung werden diese durch die NIS2-Umsetzung ergänzt
Versicherungen
Für Sozialversicherungen (gesetzliche Renten-, Unfall-, Arbeitslosen-Versicherung) ist der Schwellenwert direkt 500 Tsd. (bzw. 1 Leistungsfall pro Person pro Jahr):
- 500 Tsd. Leistungsfälle pro Jahr
Für die gesetzlichen Kranken- und Pflegeversicherungen ist der Schwellenwert direkt:
- 500 Tsd. Versicherte
Fristen
Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.
NIS2
Einrichtungen
Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.
Definitionen von Einrichtungen für Sozialversicherungen unter NIS2 bisher unbekannt.
Regulierung und Standards
Branchenstandards
Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.
B3S
- Branchenspezifischer Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV, vdek & BAK GKV, Version 1.3.28 (gültig bis März 2025)
Weitere Informationen
Literatur
- Aufsicht über Kritische Infrastrukturen im Finanzwesen - ein Überblick über den Status quo, BaFinPerspektiven 1 2020, Bundesanstalt für Finanzdienstleistungsaufsicht, Mai 2020
- ENISA-Studie EU Cybersecurity Initiatives in the Finance Sector, European Union Agency for Cybersecurity, March 2021
- Nachweise gemäß § 8a Absatz 3 BSIG,
Ist für Finanzunternehmen, die unter DORA fallen, ab dem 17. Januar 2025 die Abgabe eines KRITIS-Nachweises ... erforderlich?
, KRITIS-FAQ, Bundesamt für Sicherheit in der Informationstechnik, Januar 2025
Quellen
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
- Gesetz über das Kreditwesen (Kreditwesengesetz - KWG) in der Fassung der Bekanntmachung vom 9. September 1998 (BGBl. I S. 2776), das zuletzt durch Artikel 4 Absatz 7 des Gesetzes vom 10. Juli 2020 (BGBl. I S. 1633) geändert worden ist
- VERORDNUNG (EU) Nr. 909/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Juli 2014, zur Verbesserung der Wertpapierlieferungen und -abrechnungen in der Europäischen Union und über Zentralverwahrer sowie zur Änderung der Richtlinien 98/26/EG und 2014/65/EU und der Verordnung (EU) Nr. 236/2012