KRITIS-Verordnung: Alle Infos für 2023
Kritische Infrastrukturen wie Strom, Wasser oder Telekommunikation bilden die Eckpfeiler unserer modernen Gesellschaft. Der Schutz dieser Einrichtungen vor Ausfällen, Störungen und Angriffen ist für die Versorgungssicherheit von entscheidender Bedeutung. Durch die erstmals 2016 erlassene BSI-Kritisverordnung hat die deutsche Bundesregierung Anforderungen an die IT-Sicherheit von KRITIS-Einrichtungen definiert, um diese gegen digitale Gefahren abzusichern. In unserem Überblick erfahren Sie alles zur Vorgeschichte der KRITIS-Verordnung, dem aktuellen Stand, sowie geplanten Änderungen im Rahmen von KRITIS 3.0, EU RCE und EU NIS 2.
Neu: Das Innenministerium hat einen Referentenentwurf zur vierten Änderungsverordnung der BSI-KritisV online gestellt. Darin definiert das BMI nun erstmals Schwellenwerte für Abfallentsorgung, zudem ändern sich Schwellen im Bereich Energie und Versicherungen.
KRITIS Verordnung: Vorgeschichte
Der Schutz kritischer Infrastrukturen vor Störungen und Angriffen ist seit langem ein politisches Thema. Aufgrund der zunehmenden Digitalisierung von Anlagen und Prozessen rückt dabei auch die Abwehr digitaler Bedrohungen immer stärker in den Fokus. Zu diesem Ziel wurde 2015 das erste IT-Sicherheitsgesetz erlassen, welches kritische Infrastrukturen zur Einhaltung angemessener Sicherheitsvorkehrungen verpflichtet und das Bundesministerium für Sicherheit in der Informationsstechnik (BSI) zur zentralen Meldestelle und Kontrollinstanz macht.
Die 2016 veröffentlichte BSI-Kritisverordnung (BSI-KritisV) ergänzt das IT-Sicherheitsgesetz um konkrete Schwellenwerte, durch die Anlagen und Betriebe feststellen können, ob sie von der KRITIS-Verordnung betroffen sind oder nicht.
Wer zählt als kritische Infrastruktur?
Sektoren, die aufgrund ihrer hohen Bedeutung für die öffentliche Gesellschaft zu den kritischen Infrastrukturen gerechnet werden, sind:
Energie (Elektrizität, Gas, Mineralöl, Fernwärme)
Wasser (öffentliche Wasserversorgung u. öffentliche Abwasserbeseitigung)
Ernährung (Ernährungswirtschaft, Lebensmittelhandel)
Informationstechnik und Telekommunikation (Telefon- und Internetanbieter, IT-Hosting, Datenübertragung)
Gesundheit (medizinische Versorgung, Arzneimittel und Impfstoffe, Labore)
Finanz- und Versicherungswesen (Banken, Börsen, Versicherungen, Finanzdienstleister)
Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)
Seit 2021: Abfallentsorgung (Müllsammlung, Deponien und Reststoffverwertung)
Seit 2021: Unternehmen im öffentlichen Interesse (Firmen mit hoher inländischer Wertschöpfung)
Seit 2023: Anlagen für Liquid Natural Gas (LNG) (Einfuhr, Entladung, vorrübergehende Speicherung, Einspeisung)
Seit 2023: Seekabellandestationen (Anbindungspunkt für Seekabel zur Sprach- und Datenübertragung)
Achtung: Nicht alle Organisationen, die in einem dieser Bereiche tätig sind, sind automatisch von der KRITIS-Verordnung betroffen. Der allgemeine Richtwert, um zu bestimmen, ob es sich bei einer Anlage um eine kritische Infrastruktur handelt, ist ob diese für die Versorgung von mehr als 500.000 Menschen verantwortlich ist. Daraus ergeben sich je nach Branche unterschiedliche Schwellenwerte (z.B. 30.000 vollstationäre Fälle in einem Krankenhaus pro Jahr), welche im Anhang der Rechtsverordnung zu finden sind.
Einrichtigungen, die unterhalb der KRITIS Grenzwerte liegen, können dennoch von anderen IT-Vorschriften betroffen sein. Krankenhäuser sind etwa unabhängig ihrer Größe durch das Patientendaten-Schutz-Gesetz (PDSG) zur Umsetzung von technischer Schutzmaßnahmen verpflichetet. Finanzeinrichtungen fallen unter Regelungen wie BAIT.
Branchenspezifische Sicherheitsstandards (B3S)
Die IT-Systeme einer Verkehrsleitstelle unterscheiden sich erheblich von denen eines Finanzdienstleisters oder diagnostischen Labors. Da sich aus den verwendeten Programmen und Geräten auch unterschiedliche Sicherheitsanforderungen ergeben, haben Betreiber die Möglichkeit, eigene, an ihre Branche zugeschnittene Sicherheitsstandards beim BSI einzureichen.
Nach erfolgreicher Prüfung durch die Behörde kann ein solcher branchenspezifischer Sicherheitsstandard (B3S) für den Nachweis angemessener Schutzmaßnahmen verwendet werden. Der Einsatz des B3S ist jedoch nicht verpflichtend: Betreiber können weiterhin allgemeine Standards wie ISO 27001 oder den IT-Grundschutz als Referenz heranziehen, solange sie die KRITIS-Anforderungen und Schutzziele erfüllen. Eine Übersicht aktueller B3S ist auf der Website des BSI verfügbar.
KRITIS 2.0: Der aktuelle Stand
Um mit neuen Gefahren Schritt zu halten, überarbeitet der Gesetzgeber auch Vorschriften wie KRITIS regelmäßig. Die jüngste Aktualisierung fand 2021 im Zuge des IT-Sicherheitsgesetzes 2.0 statt. Die wichtigsten Änderungen im Überblick:
Erweiterte Befugnisse des BSI
Registrierung kritischer Komponenten
Verpflichtender Einsatz von Angriffserkennung ab 01.05.2023
Anpassung der Schwellenwerte in einigen KRITIS-Sektoren
Neuer KRITIS-Sektor Abfallentsorgung
Neue Kategorie Unternehmen im besonderen öffentlichen Interesse (UBI) mit abweichenden Pflichten (Meldung von Störungen, Selbsterklärung zur IT-Sicherheit)
höhere Strafen
Offene Fragen: Wie geht es mit UBI weiter?
Obwohl KRITIS 2.0 seit dem 01.01.2022 offiziell in Kraft ist, gibt es in einigen Bereichen der Verordnung offene Fragen. So hat der Gesetzgeber bislang etwa keine konkrete Definition der drei Kategorien von Unternehmen im besonderen öffentlichen Interesse (UBI) bereitgestellt.
Da die KRITIS-Verordnung infolge der EU-Richtlinie NIS2 überarbeitet werden muss, bleibt unklar ob Deutschland weiterhin an Unternehmen im öffentlichen Interesse als eigene KRITIS-Kategorie festhält. Viele der betroffenen Firmen dürften unter neue Sektoren in NIS2 wie Chemie und herstellendes Gewerbe fallen.
Aktuelle Informationen rund um das Thema KRITIS finden Sie auch auf OpenKRITIS.
KRITIS Dachgesetz & ITSiG 3.0: So geht es weiter!
Im Dezember 2022 hat das deutsche Innenministerium Eckpunkte für ein neues KRITIS-Dachgesetz vorgestellt, darunter etwa ein zentrales Meldesystem für Störungen, klare Mindeststandards für Anlagen und verpflichtende Risikobewertungen. Hintergrund der Überarbeitung ist die EU-weite Richtlinie EU RCE (Resilience of Critical Entities), die innerhalb einer bestimmten Frist in nationales Recht übertragen werden muss.
Neben dem geplanten KRITIS-Dachgesetz wird auch ein IT-Sicherheitsgesetz 3.0 erwartet, welches die Anforderungen der NIS2-Richtlinie (Network and Information Systems) der EU umsetzt. Mittlerweile sind verschiedene Entwürfe sowie ein Diskussionspapier zum NIS2-Umsetzungsgesetz online verfügbar.
Da die europäischen Gesetzestexte bereits bekannt sind, lässt sich der Inhalt der kommenden Vorschriften abschätzen:
Stärkerer Fokus auf physische Absicherung (Barrieren, Zugangskontrollen)
Erweiterung der kritischen Infrastrukturen um öffentliche Verwaltung, Raumfahrt, Bildung und Forschung sowie Kultur und Medien.
Neue Grenzwerte auf Basis der Unternehmensgröße (mehr als 50 Mitarbeiter bzw 10 Mio. € Umsatz).
Zusätzliche Sicherheitsmaßnahmen, Kontrolle von Lieferketten, sichere Beschaffung von Software.
Identity und Access Management in der KRITIS-Verordnung
Finden Sie heraus, wie tenfold Ihnen die Umsetzung der KRITIS-Anforderungen erleichtern kann.