Home Blog Compliance

KRITIS-Verordnung: Alle Infos für 2023

Joe Köller · 10.01.2023

Kritische Infrastrukturen wie Strom, Wasser oder Telekommunikation bilden die Eckpfeiler unserer modernen Gesellschaft. Der Schutz dieser Einrichtungen vor Ausfällen, Störungen und Angriffen ist für die Versorgungssicherheit von entscheidender Bedeutung. Durch die erstmals 2016 erlassene BSI-Kritisverordnung hat die deutsche Bundesregierung Anforderungen an die IT-Sicherheit von KRITIS-Einrichtungen definiert, um diese gegen digitale Gefahren abzusichern. In unserem Überblick erfahren Sie alles zur Vorgeschichte der KRITIS-Verordnung, dem aktuellen Stand, sowie geplanten Änderungen im Rahmen von KRITIS 3.0, EU RCE und EU NIS 2.

Neu: Durch die Dritte Verordnung zur Änderung der BSI-Kritisverordnung vom 01.03.2023 hat der Gesetzgeber zwei neue Anlagenkategorien eingeführt: LNG-Anlagen (Flüssiggas) sowie Landestationen für Seekabel.

KRITIS Verordnung: Vorgeschichte

Der Schutz kritischer Infrastrukturen vor Störungen und Angriffen ist seit langem ein politisches Thema. Aufgrund der zunehmenden Digitalisierung von Anlagen und Prozessen rückt dabei auch die Abwehr digitaler Bedrohungen immer stärker in den Fokus. Zu diesem Ziel wurde 2015 das erste IT-Sicherheitsgesetz erlassen, welches kritische Infrastrukturen zur Einhaltung angemessener Sicherheitsvorkehrungen verpflichtet und das Bundesministerium für Sicherheit in der Informationsstechnik (BSI) zur zentralen Meldestelle und Kontrollinstanz macht.

Die 2016 veröffentlichte BSI-Kritisverordnung (BSI-KritisV) ergänzt das IT-Sicherheitsgesetz um konkrete Schwellenwerte, durch die Anlagen und Betriebe feststellen können, ob sie von der KRITIS-Verordnung betroffen sind oder nicht.

Wer zählt als kritische Infrastruktur?

Sektoren, die aufgrund ihrer hohen Bedeutung für die öffentliche Gesellschaft zu den kritischen Infrastrukturen gerechnet werden, sind:

  • Energie (Elektrizität, Gas, Mineralöl, Fernwärme)

  • Wasser (öffentliche Wasserversorgung u. öffentliche Abwasserbeseitigung)

  • Ernährung (Ernährungswirtschaft, Lebensmittelhandel)

  • Informationstechnik und Telekommunikation (Telefon- und Internetanbieter, IT-Hosting, Datenübertragung)

  • Gesundheit (medizinische Versorgung, Arzneimittel und Impfstoffe, Labore)

  • Finanz- und Versicherungswesen (Banken, Börsen, Versicherungen, Finanzdienstleister)

  • Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)

  • Seit 2021: Abfallentsorgung (Müllsammlung, Deponien und Reststoffverwertung)

  • Seit 2021: Unternehmen im öffentlichen Interesse (Firmen mit hoher inländischer Wertschöpfung)

  • Seit 2023: Anlagen für Liquid Natural Gas (LNG) (Einfuhr, Entladung, vorrübergehende Speicherung, Einspeisung)

  • Seit 2023: Seekabellandestationen (Anbindungspunkt für Seekabel zur Sprach- und Datenübertragung)

Achtung: Nicht alle Organisationen, die in einem dieser Bereiche tätig sind, sind automatisch von der KRITIS-Verordnung betroffen. Der allgemeine Richtwert, um zu bestimmen, ob es sich bei einer Anlage um eine kritische Infrastruktur handelt, ist ob diese für die Versorgung von mehr als 500.000 Menschen verantwortlich ist. Daraus ergeben sich je nach Branche unterschiedliche Schwellenwerte (z.B. 30.000 vollstationäre Fälle in einem Krankenhaus pro Jahr), welche im Anhang der Rechtsverordnung zu finden sind.

Einrichtigungen, die unterhalb der KRITIS Grenzwerte liegen, können dennoch von anderen IT-Vorschriften betroffen sein. Krankenhäuser sind etwa unabhängig ihrer Größe durch das Patientendaten-Schutz-Gesetz (PDSG) zur Umsetzung von technischer Schutzmaßnahmen verpflichetet. Finanzeinrichtungen fallen unter Regelungen wie BAIT.

Branchenspezifische Sicherheitsstandards (B3S)

Die IT-Systeme einer Verkehrsleitstelle unterscheiden sich erheblich von denen eines Finanzdienstleisters oder diagnostischen Labors. Da sich aus den verwendeten Programmen und Geräten auch unterschiedliche Sicherheitsanforderungen ergeben, haben Betreiber die Möglichkeit, eigene, an ihre Branche zugeschnittene Sicherheitsstandards beim BSI einzureichen.

Nach erfolgreicher Prüfung durch die Behörde kann ein solcher branchenspezifischer Sicherheitsstandard (B3S) für den Nachweis angemessener Schutzmaßnahmen verwendet werden. Der Einsatz des B3S ist jedoch nicht verpflichtend: Betreiber können weiterhin allgemeine Standards wie ISO 27001 oder den IT-Grundschutz als Referenz heranziehen, solange sie die KRITIS-Anforderungen und Schutzziele erfüllen. Eine Übersicht aktueller B3S ist auf der Website des BSI verfügbar.

KRITIS 2.0: Der aktuelle Stand

Um mit neuen Gefahren Schritt zu halten, überarbeitet der Gesetzgeber auch Vorschriften wie KRITIS regelmäßig. Die jüngste Aktualisierung fand 2021 im Zuge des IT-Sicherheitsgesetzes 2.0 statt. Die wichtigsten Änderungen im Überblick:

  • Erweiterte Befugnisse des BSI

  • Registrierung kritischer Komponenten

  • Verpflichtender Einsatz von Angriffserkennung ab 01.05.2023

  • Anpassung der Schwellenwerte in einigen KRITIS-Sektoren

  • Neuer KRITIS-Sektor Abfallentsorgung

  • Neue Kategorie Unternehmen im besonderen öffentlichen Interesse (UBI) mit abweichenden Pflichten (Meldung von Störungen, Selbsterklärung zur IT-Sicherheit)

  • höhere Strafen

Schwellenwerte für Abfallentsorgung und UBI

Obwohl KRITIS 2.0 seit dem 01.01.2022 offiziell in Kraft ist, gibt es in einigen Bereichen der Verordnung offene Fragen. Bislang fehlen etwa Schwellenwerte für den Bereich Siedlungsabfallentsorgung sowie die neue Kategorie der Unternehmen im besonderen öffentlichen Interesse. Dazu werden Rüstungsunternehmen, Unternehmen mit hoher Bedeutung für die inländische Wirtschaft, sowie Betriebe, die mit Gefahrstoffen im Sinne der Störfall-Verordnung arbeiten, gerechnet.

Details zu den Grenzwerten sollen durch eine eigene Rechtsverordnung folgen, welche eigentlich für 2022 erwartet wurde. Sobald Details bekannt werden, ergänzen wir unseren Beitrag mit den neuesten Infos.

Aktuelle Informationen rund um das Thema KRITIS finden Sie auch auf OpenKRITIS.

KRITIS Dachgesetz & ITSiG 3.0: So geht es weiter!

Im Dezember 2022 hat das deutsche Innenministerium Eckpunkte für ein neues KRITIS-Dachgesetz vorgestellt, darunter etwa ein zentrales Meldesystem für Störungen, klare Mindeststandards für Anlagen und verpflichtende Risikobewertungen. Hintergrund der Überarbeitung ist die EU-weite Richtlinie EU RCE (Resilience of Critical Entities), die innerhalb einer bestimmten Frist in nationales Recht übertragen werden muss. Neben dem geplanten KRITIS-Dachgesetz wird auch ein IT-Sicherheitsgesetz 3.0 erwartet, welches die Anforderungen von EU NIS2 (Network and Information Systems) umsetzt.

Da die europäischen Gesetzestexte bereits bekannt sind, lässt sich der Inhalt der kommenden Vorschriften abschätzen:

  • Stärkerer Fokus auf physische Absicherung (Barrieren, Zugangskontrollen)

  • Erweiterung der kritischen Infrastrukturen um öffentliche Verwaltung, Raumfahrt, Bildung und Forschung sowie Kultur und Medien.

  • Neue Grenzwerte auf Basis der Unternehmensgröße (mehr als 50 Mitarbeiter bzw 10 Mio. € Umsatz).

  • Zusätzliche Sicherheitsmaßnahmen, Kontrolle von Lieferketten, sichere Beschaffung von Software.

Whitepaper

Identity und Access Management in der KRITIS-Verordnung

Finden Sie heraus, wie tenfold Ihnen die Umsetzung der KRITIS-Anforderungen erleichtern kann.

Verfasst von: Joe Köller

Joe Köller ist Content Manager bei tenfold und beschäftigt sich auf diesem Blog mit Themen wie Compliance, IT-Sicherheit und Access Management. Außerdem zählen digitale Medien, amerikanische Literatur und das Gärtnern zu seinen Leidenschaften.