ESecurity Cert

IT-SiG 2.0 -> BSI-KritisV 2.0

Nach­dem am 28. Mai 2021 das IT-Si­cher­heits­ge­setz 2.0 in Kraft ge­tre­ten ist, war es nur eine Frage der Zeit, dass eben­falls die BSI-Kri­tis­ver­ord­nung ent­spre­chend an­ge­passt wird. In wel­chem Um­fang dies er­folgt und ob tatsäch­lich eine hohe An­zahl zusätz­li­cher Un­ter­neh­men ab 2022 zu den KRI­TIS zählen, le­sen Sie nach­fol­gend.

Zum Schutz der Funk­ti­onsfähig­keit Kri­ti­scher In­fra­struk­tu­ren sieht das BSI-Ge­setz (BSIG) vor, dass die Be­trei­ber der Kri­ti­schen In­fra­struk­tu­ren ihre IT-Sys­teme durch an-ge­mes­sene or­ga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen ab­si­chern müssen. Kri­ti­sche In­fra­struk­tu­ren im Sinne des BSI-Ge­set­zes sind Ein­rich­ten, An­la­gen oder Teile da­von aus den fol­gen­den Sek­to­ren:

Wasser Energie Transport und Verkehr Finanz- und Versicherungswesen Unternehmen mit besonderem öffentlichen Interesse Siedlungsabfallentsorgung Ernährung Gesundheit

In der BSI-KRI­TIS-Ver­ord­nung (BSI-Kri­tisV) wer­den die ex­ak­ten Schwel­len­werte für Kri­ti­sche In­fra­struk­tu­ren de­fi­niert. Ein Schwel­len­wert stellt laut § 1 der BSI-Kri­tisV einen Wert dar, bei des­sen Er­rei­chen oder des­sen Über­schrei­tung der Ver­sor­gungs­grad ei­ner An­lage oder Tei­len da­von als be­deu­tend im Sinne von § 10 Ab­satz 1 Satz 1 des BSI-Ge­set­zes an­zu­se­hen ist.

Un­ter­neh­men, die mit Ih­rer An­lage die Schwel­len­werte als Kri­ti­sche In­fra­struk­tur nach Kri­tisV über­schrei­ten, fal­len als KRI­TIS-Be­trei­ber un­ter die KRI­TIS-Re­gu­lie­rung nach dem IT-Si­cher­heits­ge­setz 2.0 (IT-SiG 2.0). So­mit un­ter­lie­gen die Un­ter­neh­men den fol­gen­den Cy­ber Se­cu­rity-Pflich­ten:

  1. Iden­ti­fi­ka­tion von KRI­TIS-An­la­gen
  2. Re­gis­trie­rung der An­la­gen als KRI­TIS beim BSI
  3. KRI­TIS-Mel­de­pflich­ten für IT-Störun­gen, An­grif­fen und Vorfällen der be­trof­fe­nen An­la­gen ans BSI
  4. KRI­TIS-An­la­gen de­fi­nie­ren und Scope im Un­ter­neh­men fest­le­gen
  5. Ein­rich­tung der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maßnah­men zum Ma­nage­ment von IT-Si­cher­heit (ISMS), Ri­si­ken, Kon­ti­nuität (BCMS) und Tech­no­lo­gien
  6. KRI­TIS-Prüfun­gen

KritisV 2.0

Am 18. Au­gust 2021 hat das Bun­des­ka­bi­nett in sei­ner 153. Sit­zung die „Zweite Ver­ord­nung zur Ände­rung der BSI-KRI­TIS Ver­ord­nung“ be­schlos­sen. Eine Veröff­ent­li­chung im Bun­des­ge­setz­blatt er­folgte zum 14. Sep­tem­ber 2021. Diese tritt be­reits zum 1.1.2022 in Kraft und be­inhal­tet we­sent­li­che Ände­run­gen, auf die sich zukünf­tige Be­trei­ber kri­ti­scher In­fra­struk­tu­ren (KRI­TIS) ein­stel­len müssen. Grundsätz­lich ist zu sa­gen, dass es sich bei den Ände­run­gen im We­sent­li­chen um das Er­geb­nis der in § 9 Kri­tisV de­fi­nier­ten Eva­lua­tion han­delt. Es wur­den je­doch keine we­sent­li­chen Er­wei­te­run­gen oder An­pas­sun­gen, wie bspw. die Einführung des neuen Sek­tors „Sied­lungs­ab­fall­ent­sor­gung“ oder die „Un­ter­neh­men im be­son­de­ren öff­ent­li­chen In­ter­esse“ aus dem IT-Si­cher­heits­ge­setz 2.0, ge­trof­fen.

Zusammenfassung der Kennzahlen

Durch die um­ge­setz­ten Ände­run­gen wer­den vor­aus­sicht­lich 252 neue KRI­TIS-Be­trei­ber zu den be­reits be­ste­hen­den circa 1.600 Be­trei­bern hin­zu­kom­men. Der größte Zu­wachs wird in dem Sek­tor En­er­gie er­war­tet. Hier wer­den vor­aus­sicht­lich 131 neue Be­trei­ber in der An­la­gen­ka­te­go­rie Strom, 13 Be­trei­ber in der An­la­gen­ka­te­go­rie Gas und vier Be­trei­ber in der An­la­gen­ka­te­go­rie Mi­ne­ralöl er­war­tet. Der zweitgrößte Zu­wachs wird im Sek­tor Trans­port und Ver­kehr er­war­tet. Durch die Ände­run­gen wer­den sechs neue Be­trei­ber im Sek­tor Luft­ver­kehr, 34 neue Be­trei­ber im Sek­tor Schiff­fahrt so­wie 34 neue Be­trei­ber im Sek­tor Straßenver­kehr er­war­tet. In der An­la­gen­ka­te­go­rie ÖPNV wird mit kei­nem Zu­wachs an neuen Be­trei­bern ge­rech­net. Für den Sek­tor Ge­sund­heit wur­den keine Zah­len im Ent­wurf veröff­ent­lich - so­mit ist der Zu­wachs hier noch un­ge­wiss. Mit klei­ne­rem Zu­wachs wird in den Sek­to­ren In­for­ma­ti­ons­tech­nik und Te­le­kom­mu­ni­ka­tion so­wie Fi­nanz- und Ver­si­che­rungs­we­sen ge­rech­net. Im Sek­tor Fi­nanz- und Ver­si­che­rungs­we­sen sol­len auf­grund der Auf­nahme neuer An­la­gen 21 neue Be­trei­ber in der An­la­gen­ka­te­go­rie Han­del hin­zu­kom­men. Im Sek­tor In­for­ma­ti­ons­tech­nik und Te­le­kom­mu­ni­ka­tion wird durch die Auf­nahme neuer An­la­gen so­wie die Ände­rung von Schwel­len­wer­ten 10 neue KRI­TIS-Be­trei­ber er­war­tet. Die ge­nann­ten Zuwächse las­sen sich auf die fol­gen­den Ände­run­gen zurückführen:

Zusammenfassung der Änderungen der übergreifenden Definitionen

Auffällig ist, dass be­reits in dem all­ge­mei­nen Teil der BSI-Kri­tisV-Ände­run­gen an den De­fi­ni­tio­nen vor­ge­nom­men wur­den. Bei­spiels­weise fal­len nach § 1 Abs 1 Nr. 1c) Kri­tisV nun auch Soft­ware und IT-Dienste un­ter die An­la­gen­de­fi­ni­tion. Eben­falls wird in § 1 Abs 2 Kri­tisV nun auch der Be­griff der ge­mein­sa­men An­lage kon­kre­ti­siert. „Meh­rere An­la­gen der­sel­ben Ka­te­go­rie, die durch einen be­triebs­tech­ni­schen Zu­sam­men­hang ver­bun­den sind, gel­ten als ge­mein­same An­lage, wenn sie ge­mein­sam zur Er­brin­gung der­sel­ben kri­ti­schen Dienst­leis­tung not­wen­dig sind.“ So­mit ist kein recht­li­cher Spiel­raum hin­sicht­lich der Aus­le­gung ei­ner An­lage so­wie ei­ner ge­mein­sa­men An­lage ge­ge­ben. Eben­falls wird in § 1 Abs 2 Kri­tisV die Ver­ant­wort­lich­keit de­fi­niert, wenn eine An­lage von zwei oder mehr Per­so­nen be­trie­ben wird. „Be­trei­ben zwei oder mehr Per­so­nen ge­mein­sam eine An­lage, so ist je­der für die Erfüllung der Pflich­ten als Be­trei­ber ver­ant­wort­lich.“

Mit der neuen BSI-Kri­tisV wird die De­fi­ni­tion zum Ende des Gel­tungs­be­rei­ches der Ver­ord­nung ein­geführt. Dies er­folgt in den ein­zel­nen Anhängen der BSI-Kri­tisV, wurde je­doch in je­dem An­hang und so­mit in je­dem Sek­tor gleich de­fi­niert. „Nicht mehr als Kri­ti­sche In­fra­struk­tur gilt eine sol­che An­lage ab dem 1. April des Ka­len­der­jah­res, das auf das Ka­len­der­jahr folgt, in dem Ihr Ver­sor­gungs­grad den ge­nann­ten Schwel­len­wert un­ter­schrei­tet.“ (bspw. An­hang 1 Teil 1 Nr. 3). Fällt eine An­lage bei­spiels­weise im Ka­len­der­jahr 2021 un­ter die ge­nann­ten Schwel­len­werte, nach­dem es im Ka­len­der­jahr 2020 diese noch über­schrit­ten hat, fällt die An­lage ab dem 1. April 2022 nicht mehr un­ter die Ver­ord­nung.

Zusammenfassung der Änderungen der Anlagenkategorien

In der BSI-Kri­tisV 2.0 wur­den ne­ben den De­fi­ni­tio­nen auch Ände­run­gen an den An­la­gen­ka­te­go­rien vor-ge­nom­men. Ins­ge­samt wur­den 17 Anal­gen­ka­te­go­rien hin­zu­gefügt und fünf An­la­gen­ka­te­go­rien gelöscht. So­mit ist ein ge­ne­rel­ler Zu­wachs an An­la­gen­ka­te­go­rien er­folgt.

Neu hin­zu­ge­kom­men sind un­ter an­de­rem fol­gende An­la­gen­ka­te­go­rien:

1. En­er­gie

  1. An­la­gen zur zen­tra­len stand­ortüberg­rei­fen­den Steue­rung im Be­reich der Gas­ver­sor­gung (An­hang 1 Teil 3 Nr.2.1.2)
  2. Gas­grenzüberg­abe­stel­len (An­hang 1 Teil 3 Nr. 2.2.2)
  3. Gans­han­dels­sys­teme (An­hang 1 Teil 3 Nr.2.4.1)
  4. An­la­gen zur zen­tra­len stand­ortüberg­rei­fen­den Steue­rung im Be­reich der Erdölförde­rung und Pro­dukt­her­stel­lung (An­hang 1 Teil 3 Nr..3.1.3)
  5. Mi­ne­ralölhan­del (An­hang 1 Teil 3 Nr.3.4.1)
  6. An­la­gen zur zen­tra­len stand­ortüberg­rei­fen­den Steue­rung im Be­reich der Fernwärme­ver­sor­gung (An­hang 1 Teil 3 Nr.4.3.1)

2. Was­ser

  1. Durch Neu­de­fi­ni­tion der Ge­win­nungs­an­lage, fal­len nun auch Stau­an­la­gen un­ter den Be­griff Ge­win­nungs­an­lage (An­hang 2 Teil 1 Nr. 1.1)

3. IT

  1. Top-Le­vel-Do­main-Name-Re­gis­try (An­hang 4 Teil 3 Nr. 1.4.3)

4. Ge­sund­heit

  1. La­bore im Be­reich er La­bo­ra­to­ri­ums Dia­gnos­tik (An­hang 5 Teil 3 Nr. 4.1)
  2. La­bor­in­for­ma­ti­ons­ver­bund im Be­reich er La­bo­ra­to­ri­ums Dia­gnos­tik (An­hang 5 Teil 3 Nr. 4.2)

5. Fi­nanz- und Ver­si­che­rungs­we­sen

  1. Sys­tem für das Er­zeu­gen von Aufträgen zum Han­del von Wert­pa­pie­ren und De­ri­va­ten und Wei­ter­lei­ten an einen Han­dels­platz im Be­reich der Er­brin­gung von Aufträgen in den Han­del (An­hang 6 Teil 3 Nr. 4.4.1)
  2. Sys­tem ei­nes Han­dels­plat­zes im Be­reich der Ausführung des Han­dels (An­hang 6 Teil 3 Nr. 4.5.1)
  3. Sons­tige De­potführungs­sys­teme für die Be­standsführung für den Kun­den (An­hang 6 Teil 3 Nr. 4.6.1)

6. Trans­port und Ver­kehr

  1. Ver­kehrs­zen­trale ei­ner Flug­ge­sell­schaft im Luft­ver­kehr im Be­reich Per­so­nen- und Güter­ver­kehr (An­hang 7 Teil 3 Nr. 1.1.5)
  2. Flug­ha­fen­lei­tor­gan im Luft­ver­kehr im Be­reich Per­so­nen- und Güter­ver­kehr (An­hang 7 Teil 3 Nr. 1.1.5)
  3. Ha­fen­lei­tungs­or­gan (nur Güter­ver­kehr) in der See- und Bin­nen­schiff­fahrt (An­hang 7 Teil 3 Nr. 1.3.4)
  4. Um­schlag­an­la­gen in See- und Bin­nenhäfen (An­hang 7 Teil 3 Nr. 1.3.5)
  5. ntel­li­gen­tes Ver­kehrs­sys­tem im Straßenver­kehr (An­hang 7 Teil 3 Nr. 1.4.3)

Folgende Anlagenkategorien wurden gestrichen:

1. En­er­gie

  1. Er­zeu­gungs­an­lage mit Wärme­aus­kopp­lung (KWK-An­lage) im Be­reich der Strom­ver­sor­gung (ehem. An­hang 1 Teil 3 Nr. 1.1.2)
  2. Mess­stelle im Be­reich der Strom­ver­sor­gung (ehem. An­hang 1 Teil 3 Nr. 1.3.2)

2. Ge­sund­heit

  1. Trans­port­sys­tem im Be­reich der La­bo­ra­to­ri­ums­dia­gnos­tik (ehem. An­hang 5 Teil 3 Nr. 4.1.1)
  2. Kom­mu­ni­ka­ti­ons­sys­tem zur Auf­trags- oder Be­fundüber­mitt­lung im Be­reich der La­bo­ra­to­ri­ums-dia­gnos­tik (ehem. An­hang 5 Teil 3 Nr. 4.1.2)

3. Trans­port und Ver­kehr

  1. Ver­kehrs­steue­rungs- und Leit­sys­tem des ÖPNV (ehem. An­hang 7 Teil 3 Nr. 1.5.2)

Zusammenfassung der Änderungen der Schwellenwerte

Ne­ben den Ände­run­gen an den An­la­gen­ka­te­go­rien wur­den auch Ände­run­gen an Schwel­len­wer­ten von be­ste­hen­den An­la­gen­ka­te­go­rien be­schlos­sen. Dazu zählen un­ter an­de­rem die Sen­kung der fol­gen­den Schwel­len­werte:

1. En­er­gie

  1. Sen­kung des Schwel­len