KRITIS-Verordnung: Rรผckblick und Ausblick

Kritische Infrastrukturen wie Strom, Wasser oder Telekommunikation bilden die Eckpfeiler unserer modernen Gesellschaft. Der Schutz dieser Einrichtungen vor Ausfรคllen, Stรถrungen und Angriffen ist fรผr die Versorgungssicherheit von entscheidender Bedeutung. Durch die erstmals 2016 erlassene BSI-Kritisverordnung hat die deutsche Bundesregierung Anforderungen an die IT-Sicherheit von KRITIS-Einrichtungen definiert, um diese gegen digitale Gefahren abzusichern. In unserem รœberblick erfahren Sie alles zur Vorgeschichte der KRITIS-Verordnung, dem aktuellen Stand, sowie geplanten ร„nderungen im Rahmen von KRITIS 3.0, EU RCE und EU NIS 2.

KRITIS Verordnung: Vorgeschichte

Der Schutz kritischer Infrastrukturen vor Stรถrungen und Angriffen ist seit langem ein politisches Thema. Aufgrund der zunehmenden Digitalisierung von Anlagen und Prozessen rรผckt dabei auch die Abwehr digitaler Bedrohungen immer stรคrker in den Fokus. Zu diesem Ziel wurde 2015 das erste IT-Sicherheitsgesetz erlassen, welches kritische Infrastrukturen zur Einhaltung angemessener Sicherheitsvorkehrungen verpflichtet und das Bundesministerium fรผr Sicherheit in der Informationsstechnik (BSI) zur zentralen Meldestelle und Kontrollinstanz macht.

Die 2016 verรถffentlichte BSI-Kritisverordnung (BSI-KritisV) ergรคnzt das IT-Sicherheitsgesetz um konkrete Schwellenwerte, durch die Anlagen und Betriebe feststellen kรถnnen, ob sie von der KRITIS-Verordnung betroffen sind oder nicht.

Wer zรคhlt als kritische Infrastruktur?

Sektoren, die aufgrund ihrer hohen Bedeutung fรผr die รถffentliche Gesellschaft zu den kritischen Infrastrukturen gerechnet werden, sind:

  • Energie (Elektrizitรคt, Gas, Mineralรถl, Fernwรคrme)

  • Wasser (รถffentliche Wasserversorgung u. รถffentliche Abwasserbeseitigung)

  • Ernรคhrung (Ernรคhrungswirtschaft, Lebensmittelhandel)

  • Informationstechnik und Telekommunikation (Telefon- und Internetanbieter, IT-Hosting, Datenรผbertragung)

  • Gesundheit (medizinische Versorgung, Arzneimittel und Impfstoffe, Labore)

  • Finanz- und Versicherungswesen (Banken, Bรถrsen, Versicherungen, Finanzdienstleister)

  • Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, StraรŸenverkehr, Logistik)

  • Seit 2021: Abfallentsorgung (Mรผllsammlung, Deponien und Reststoffverwertung)

  • Seit 2021: Unternehmen im รถffentlichen Interesse (Firmen mit hoher inlรคndischer Wertschรถpfung)

  • Seit 2023: Anlagen fรผr Liquid Natural Gas (LNG) (Einfuhr, Entladung, vorrรผbergehende Speicherung, Einspeisung)

  • Seit 2023: Seekabellandestationen (Anbindungspunkt fรผr Seekabel zur Sprach- und Datenรผbertragung)

Nicht alle Organisationen in einem dieser Sektoren zรคhlen als KRITIS-Betreiber, sondern nur jene, die fรผr die Versorgung von mehr als 500.000 Menschen verantwortlich sind. Daraus ergeben sich je nach Branche unterschiedliche Schwellenwerte.

Branchenspezifische Sicherheitsstandards (B3S)

Die IT-Systeme einer Verkehrsleitstelle unterscheiden sich erheblich von denen eines Finanzdienstleisters oder diagnostischen Labors. Da sich aus den verwendeten Programmen und Gerรคten auch unterschiedliche Sicherheitsanforderungen ergeben, haben Betreiber die Mรถglichkeit, eigene, an ihre Branche zugeschnittene Sicherheitsstandards beim BSI einzureichen.

Nach erfolgreicher Prรผfung durch die Behรถrde kann ein solcher branchenspezifischer Sicherheitsstandard (B3S) fรผr den Nachweis angemessener SchutzmaรŸnahmen verwendet werden. Der Einsatz des B3S ist jedoch nicht verpflichtend: Betreiber kรถnnen weiterhin allgemeine Standards wie ISO 27001 oder den IT-Grundschutz als Referenz heranziehen, solange sie die KRITIS-Anforderungen und Schutzziele erfรผllen. Eine รœbersicht aktueller B3S ist auf der Website des BSI verfรผgbar.

KRITIS 2.0

Um mit neuen Gefahren Schritt zu halten hat der Gesetzgeber die KRITIS-Verordnung 2021 im Zuge des IT-Sicherheitsgesetzes 2.0 รผberarbeitet. Die wichtigsten ร„nderungen dieser Gesetzesnovelle waren:

  • Erweiterte Befugnisse des BSI

  • Registrierung kritischer Komponenten

  • Verpflichtender Einsatz von Angriffserkennung

  • Anpassung der Schwellenwerte in einigen KRITIS-Sektoren

  • Neuer KRITIS-Sektor Abfallentsorgung

  • Neue Kategorie Unternehmen im besonderen รถffentlichen Interesse (UBI) mit abweichenden Pflichten (Meldung von Stรถrungen, Selbsterklรคrung zur IT-Sicherheit)

  • hรถhere Strafen

NIS2-Umsetzungsgesetz: So geht es weiter!

Die KRITIS-Verordnung wird inzwischen durch neue EU-Gesetze wie die NIS2-Richtlinie und den Cyber Resilience Act รผberschattet. Die Umsetzung der neuen Vorgaben ist aktuell in Gange, in Deutschland wurde dazu bereits ein Referentenentwurf fรผr das sogenannte NIS2-Umsetzungsgesetz verรถffentlicht.

Details zu den Anforderungen von NIS2 finden Sie in unserem NIS2 รœberblick. Wesentliche ร„nderungen, die sich durch die EU-Richtlinie darรผber hinaus ergeben, sind:

  • zusรคtzliche betroffene Sektoren, darunter fertigende Industrie & รถffentliche Verwaltung

  • ein deutlich grรถรŸerer Adressatenkreis von wesentlichen und wichtigen Einrichtungen (schรคtzungsweise 20.000 zusรคtzliche regulierte Betreiber in Deutschland)

  • strengere Anforderungen an die eigene Lieferkette und den Einsatz sicherer Software-Produkte

Aktuelle Informationen rund um die KRITIS-Verordnung, NIS2 & Co. erhalten Sie auch auf OpenKRITIS.de.

Whitepaper

NIS2: Access Governance Anforderungen

Informieren Sie sich: Welche Anforderungen stellt NIS2 an das Zugriffsmanagement und wie hilft tenfold Ihnen dabei, diese schnell und einfach zu erfรผllen.

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.