Home Blog Compliance

KRITIS-Verordnung: Rückblick und Ausblick

Joe Köller · 20.03.2024

Kritische Infrastrukturen wie Strom, Wasser oder Telekommunikation bilden die Eckpfeiler unserer modernen Gesellschaft. Der Schutz dieser Einrichtungen vor Ausfällen, Störungen und Angriffen ist für die Versorgungssicherheit von entscheidender Bedeutung. Durch die erstmals 2016 erlassene BSI-Kritisverordnung hat die deutsche Bundesregierung Anforderungen an die IT-Sicherheit von KRITIS-Einrichtungen definiert, um diese gegen digitale Gefahren abzusichern. In unserem Überblick erfahren Sie alles zur Vorgeschichte der KRITIS-Verordnung, dem aktuellen Stand, sowie geplanten Änderungen im Rahmen von KRITIS 3.0, EU RCE und EU NIS 2.

KRITIS Verordnung: Vorgeschichte

Der Schutz kritischer Infrastrukturen vor Störungen und Angriffen ist seit langem ein politisches Thema. Aufgrund der zunehmenden Digitalisierung von Anlagen und Prozessen rückt dabei auch die Abwehr digitaler Bedrohungen immer stärker in den Fokus. Zu diesem Ziel wurde 2015 das erste IT-Sicherheitsgesetz erlassen, welches kritische Infrastrukturen zur Einhaltung angemessener Sicherheitsvorkehrungen verpflichtet und das Bundesministerium für Sicherheit in der Informationsstechnik (BSI) zur zentralen Meldestelle und Kontrollinstanz macht.

Die 2016 veröffentlichte BSI-Kritisverordnung (BSI-KritisV) ergänzt das IT-Sicherheitsgesetz um konkrete Schwellenwerte, durch die Anlagen und Betriebe feststellen können, ob sie von der KRITIS-Verordnung betroffen sind oder nicht.

Wer zählt als kritische Infrastruktur?

Sektoren, die aufgrund ihrer hohen Bedeutung für die öffentliche Gesellschaft zu den kritischen Infrastrukturen gerechnet werden, sind:

  • Energie (Elektrizität, Gas, Mineralöl, Fernwärme)

  • Wasser (öffentliche Wasserversorgung u. öffentliche Abwasserbeseitigung)

  • Ernährung (Ernährungswirtschaft, Lebensmittelhandel)

  • Informationstechnik und Telekommunikation (Telefon- und Internetanbieter, IT-Hosting, Datenübertragung)

  • Gesundheit (medizinische Versorgung, Arzneimittel und Impfstoffe, Labore)

  • Finanz- und Versicherungswesen (Banken, Börsen, Versicherungen, Finanzdienstleister)

  • Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)

  • Seit 2021: Abfallentsorgung (Müllsammlung, Deponien und Reststoffverwertung)

  • Seit 2021: Unternehmen im öffentlichen Interesse (Firmen mit hoher inländischer Wertschöpfung)

  • Seit 2023: Anlagen für Liquid Natural Gas (LNG) (Einfuhr, Entladung, vorrübergehende Speicherung, Einspeisung)

  • Seit 2023: Seekabellandestationen (Anbindungspunkt für Seekabel zur Sprach- und Datenübertragung)

Nicht alle Organisationen in einem dieser Sektoren zählen als KRITIS-Betreiber, sondern nur jene, die für die Versorgung von mehr als 500.000 Menschen verantwortlich sind. Daraus ergeben sich je nach Branche unterschiedliche Schwellenwerte.

Branchenspezifische Sicherheitsstandards (B3S)

Die IT-Systeme einer Verkehrsleitstelle unterscheiden sich erheblich von denen eines Finanzdienstleisters oder diagnostischen Labors. Da sich aus den verwendeten Programmen und Geräten auch unterschiedliche Sicherheitsanforderungen ergeben, haben Betreiber die Möglichkeit, eigene, an ihre Branche zugeschnittene Sicherheitsstandards beim BSI einzureichen.

Nach erfolgreicher Prüfung durch die Behörde kann ein solcher branchenspezifischer Sicherheitsstandard (B3S) für den Nachweis angemessener Schutzmaßnahmen verwendet werden. Der Einsatz des B3S ist jedoch nicht verpflichtend: Betreiber können weiterhin allgemeine Standards wie ISO 27001 oder den IT-Grundschutz als Referenz heranziehen, solange sie die KRITIS-Anforderungen und Schutzziele erfüllen. Eine Übersicht aktueller B3S ist auf der Website des BSI verfügbar.

KRITIS 2.0

Um mit neuen Gefahren Schritt zu halten hat der Gesetzgeber die KRITIS-Verordnung 2021 im Zuge des IT-Sicherheitsgesetzes 2.0 überarbeitet. Die wichtigsten Änderungen dieser Gesetzesnovelle waren:

  • Erweiterte Befugnisse des BSI

  • Registrierung kritischer Komponenten

  • Verpflichtender Einsatz von Angriffserkennung

  • Anpassung der Schwellenwerte in einigen KRITIS-Sektoren

  • Neuer KRITIS-Sektor Abfallentsorgung

  • Neue Kategorie Unternehmen im besonderen öffentlichen Interesse (UBI) mit abweichenden Pflichten (Meldung von Störungen, Selbsterklärung zur IT-Sicherheit)

  • höhere Strafen

NIS2-Umsetzungsgesetz: So geht es weiter!

Die KRITIS-Verordnung wird inzwischen durch neue EU-Gesetze wie die NIS2-Richtlinie und den Cyber Resilience Act überschattet. Die Umsetzung der neuen Vorgaben ist aktuell in Gange, in Deutschland wurde dazu bereits ein Referentenentwurf für das sogenannte NIS2-Umsetzungsgesetz veröffentlicht.

Details zu den Anforderungen von NIS2 finden Sie in unserem NIS2 Überblick. Wesentliche Änderungen, die sich durch die EU-Richtlinie darüber hinaus ergeben, sind:

  • zusätzliche betroffene Sektoren, darunter fertigende Industrie & öffentliche Verwaltung

  • ein deutlich größerer Adressatenkreis von wesentlichen und wichtigen Einrichtungen (schätzungsweise 20.000 zusätzliche regulierte Betreiber in Deutschland)

  • strengere Anforderungen an die eigene Lieferkette und den Einsatz sicherer Software-Produkte

Aktuelle Informationen rund um die KRITIS-Verordnung, NIS2 & Co. erhalten Sie auch auf OpenKRITIS.de.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.