KRITIS-Verordnung: Rรผckblick und Ausblick
Kritische Infrastrukturen wie Strom, Wasser oder Telekommunikation bilden die Eckpfeiler unserer modernen Gesellschaft. Der Schutz dieser Einrichtungen vor Ausfรคllen, Stรถrungen und Angriffen ist fรผr die Versorgungssicherheit von entscheidender Bedeutung. Durch die erstmals 2016 erlassene BSI-Kritisverordnung hat die deutsche Bundesregierung Anforderungen an die IT-Sicherheit von KRITIS-Einrichtungen definiert, um diese gegen digitale Gefahren abzusichern. In unserem รberblick erfahren Sie alles zur Vorgeschichte der KRITIS-Verordnung, dem aktuellen Stand, sowie geplanten รnderungen im Rahmen von KRITIS 3.0, EU RCE und EU NIS 2.
KRITIS Verordnung: Vorgeschichte
Der Schutz kritischer Infrastrukturen vor Stรถrungen und Angriffen ist seit langem ein politisches Thema. Aufgrund der zunehmenden Digitalisierung von Anlagen und Prozessen rรผckt dabei auch die Abwehr digitaler Bedrohungen immer stรคrker in den Fokus. Zu diesem Ziel wurde 2015 das erste IT-Sicherheitsgesetz erlassen, welches kritische Infrastrukturen zur Einhaltung angemessener Sicherheitsvorkehrungen verpflichtet und das Bundesministerium fรผr Sicherheit in der Informationsstechnik (BSI) zur zentralen Meldestelle und Kontrollinstanz macht.
Die 2016 verรถffentlichte BSI-Kritisverordnung (BSI-KritisV) ergรคnzt das IT-Sicherheitsgesetz um konkrete Schwellenwerte, durch die Anlagen und Betriebe feststellen kรถnnen, ob sie von der KRITIS-Verordnung betroffen sind oder nicht.
Wer zรคhlt als kritische Infrastruktur?
Sektoren, die aufgrund ihrer hohen Bedeutung fรผr die รถffentliche Gesellschaft zu den kritischen Infrastrukturen gerechnet werden, sind:
Energie (Elektrizitรคt, Gas, Mineralรถl, Fernwรคrme)
Wasser (รถffentliche Wasserversorgung u. รถffentliche Abwasserbeseitigung)
Ernรคhrung (Ernรคhrungswirtschaft, Lebensmittelhandel)
Informationstechnik und Telekommunikation (Telefon- und Internetanbieter, IT-Hosting, Datenรผbertragung)
Gesundheit (medizinische Versorgung, Arzneimittel und Impfstoffe, Labore)
Finanz- und Versicherungswesen (Banken, Bรถrsen, Versicherungen, Finanzdienstleister)
Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straรenverkehr, Logistik)
Seit 2021: Abfallentsorgung (Mรผllsammlung, Deponien und Reststoffverwertung)
Seit 2021: Unternehmen im รถffentlichen Interesse (Firmen mit hoher inlรคndischer Wertschรถpfung)
Seit 2023: Anlagen fรผr Liquid Natural Gas (LNG) (Einfuhr, Entladung, vorrรผbergehende Speicherung, Einspeisung)
Seit 2023: Seekabellandestationen (Anbindungspunkt fรผr Seekabel zur Sprach- und Datenรผbertragung)
Nicht alle Organisationen in einem dieser Sektoren zรคhlen als KRITIS-Betreiber, sondern nur jene, die fรผr die Versorgung von mehr als 500.000 Menschen verantwortlich sind. Daraus ergeben sich je nach Branche unterschiedliche Schwellenwerte.
Branchenspezifische Sicherheitsstandards (B3S)
Die IT-Systeme einer Verkehrsleitstelle unterscheiden sich erheblich von denen eines Finanzdienstleisters oder diagnostischen Labors. Da sich aus den verwendeten Programmen und Gerรคten auch unterschiedliche Sicherheitsanforderungen ergeben, haben Betreiber die Mรถglichkeit, eigene, an ihre Branche zugeschnittene Sicherheitsstandards beim BSI einzureichen.
Nach erfolgreicher Prรผfung durch die Behรถrde kann ein solcher branchenspezifischer Sicherheitsstandard (B3S) fรผr den Nachweis angemessener Schutzmaรnahmen verwendet werden. Der Einsatz des B3S ist jedoch nicht verpflichtend: Betreiber kรถnnen weiterhin allgemeine Standards wie ISO 27001 oder den IT-Grundschutz als Referenz heranziehen, solange sie die KRITIS-Anforderungen und Schutzziele erfรผllen. Eine รbersicht aktueller B3S ist auf der Website des BSI verfรผgbar.
KRITIS 2.0
Um mit neuen Gefahren Schritt zu halten hat der Gesetzgeber die KRITIS-Verordnung 2021 im Zuge des IT-Sicherheitsgesetzes 2.0 รผberarbeitet. Die wichtigsten รnderungen dieser Gesetzesnovelle waren:
Erweiterte Befugnisse des BSI
Registrierung kritischer Komponenten
Verpflichtender Einsatz von Angriffserkennung
Anpassung der Schwellenwerte in einigen KRITIS-Sektoren
Neuer KRITIS-Sektor Abfallentsorgung
Neue Kategorie Unternehmen im besonderen รถffentlichen Interesse (UBI) mit abweichenden Pflichten (Meldung von Stรถrungen, Selbsterklรคrung zur IT-Sicherheit)
hรถhere Strafen
NIS2-Umsetzungsgesetz: So geht es weiter!
Die KRITIS-Verordnung wird inzwischen durch neue EU-Gesetze wie die NIS2-Richtlinie und den Cyber Resilience Act รผberschattet. Die Umsetzung der neuen Vorgaben ist aktuell in Gange, in Deutschland wurde dazu bereits ein Referentenentwurf fรผr das sogenannte NIS2-Umsetzungsgesetz verรถffentlicht.
Details zu den Anforderungen von NIS2 finden Sie in unserem NIS2 รberblick. Wesentliche รnderungen, die sich durch die EU-Richtlinie darรผber hinaus ergeben, sind:
zusรคtzliche betroffene Sektoren, darunter fertigende Industrie & รถffentliche Verwaltung
ein deutlich grรถรerer Adressatenkreis von wesentlichen und wichtigen Einrichtungen (schรคtzungsweise 20.000 zusรคtzliche regulierte Betreiber in Deutschland)
strengere Anforderungen an die eigene Lieferkette und den Einsatz sicherer Software-Produkte
Aktuelle Informationen rund um die KRITIS-Verordnung, NIS2 & Co. erhalten Sie auch auf OpenKRITIS.de.
NIS2: Access Governance Anforderungen
Informieren Sie sich: Welche Anforderungen stellt NIS2 an das Zugriffsmanagement und wie hilft tenfold Ihnen dabei, diese schnell und einfach zu erfรผllen.