Zum Schutz der Funktionsfähigkeit Kritischer Infrastrukturen sieht das BSI-Gesetz (BSIG) vor, dass die Betreiber der Kritischen Infrastrukturen ihre IT-Systeme durch an-gemessene organisatorische und technische Vorkehrungen absichern müssen. Kritische Infrastrukturen im Sinne des BSI-Gesetzes sind Einrichten, Anlagen oder Teile davon aus den folgenden Sektoren:
In der BSI-KRITIS-Verordnung (BSI-KritisV) werden die exakten Schwellenwerte für Kritische Infrastrukturen definiert. Ein Schwellenwert stellt laut § 1 der BSI-KritisV einen Wert dar, bei dessen Erreichen oder dessen Überschreitung der Versorgungsgrad einer Anlage oder Teilen davon als bedeutend im Sinne von § 10 Absatz 1 Satz 1 des BSI-Gesetzes anzusehen ist.
Unternehmen, die mit Ihrer Anlage die Schwellenwerte als Kritische Infrastruktur nach KritisV überschreiten, fallen als KRITIS-Betreiber unter die KRITIS-Regulierung nach dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0). Somit unterliegen die Unternehmen den folgenden Cyber Security-Pflichten:
- Identifikation von KRITIS-Anlagen
- Registrierung der Anlagen als KRITIS beim BSI
- KRITIS-Meldepflichten für IT-Störungen, Angriffen und Vorfällen der betroffenen Anlagen ans BSI
- KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
- Einrichtung der technischen und organisatorischen Maßnahmen zum Management von IT-Sicherheit (ISMS), Risiken, Kontinuität (BCMS) und Technologien
- KRITIS-Prüfungen
KritisV 2.0
Am 18. August 2021 hat das Bundeskabinett in seiner 153. Sitzung die „Zweite Verordnung zur Änderung der BSI-KRITIS Verordnung“ beschlossen. Eine Veröffentlichung im Bundesgesetzblatt erfolgte zum 14. September 2021. Diese tritt bereits zum 1.1.2022 in Kraft und beinhaltet wesentliche Änderungen, auf die sich zukünftige Betreiber kritischer Infrastrukturen (KRITIS) einstellen müssen. Grundsätzlich ist zu sagen, dass es sich bei den Änderungen im Wesentlichen um das Ergebnis der in § 9 KritisV definierten Evaluation handelt. Es wurden jedoch keine wesentlichen Erweiterungen oder Anpassungen, wie bspw. die Einführung des neuen Sektors „Siedlungsabfallentsorgung“ oder die „Unternehmen im besonderen öffentlichen Interesse“ aus dem IT-Sicherheitsgesetz 2.0, getroffen.
Zusammenfassung der Kennzahlen
Durch die umgesetzten Änderungen werden voraussichtlich 252 neue KRITIS-Betreiber zu den bereits bestehenden circa 1.600 Betreibern hinzukommen. Der größte Zuwachs wird in dem Sektor Energie erwartet. Hier werden voraussichtlich 131 neue Betreiber in der Anlagenkategorie Strom, 13 Betreiber in der Anlagenkategorie Gas und vier Betreiber in der Anlagenkategorie Mineralöl erwartet. Der zweitgrößte Zuwachs wird im Sektor Transport und Verkehr erwartet. Durch die Änderungen werden sechs neue Betreiber im Sektor Luftverkehr, 34 neue Betreiber im Sektor Schifffahrt sowie 34 neue Betreiber im Sektor Straßenverkehr erwartet. In der Anlagenkategorie ÖPNV wird mit keinem Zuwachs an neuen Betreibern gerechnet. Für den Sektor Gesundheit wurden keine Zahlen im Entwurf veröffentlich - somit ist der Zuwachs hier noch ungewiss. Mit kleinerem Zuwachs wird in den Sektoren Informationstechnik und Telekommunikation sowie Finanz- und Versicherungswesen gerechnet. Im Sektor Finanz- und Versicherungswesen sollen aufgrund der Aufnahme neuer Anlagen 21 neue Betreiber in der Anlagenkategorie Handel hinzukommen. Im Sektor Informationstechnik und Telekommunikation wird durch die Aufnahme neuer Anlagen sowie die Änderung von Schwellenwerten 10 neue KRITIS-Betreiber erwartet. Die genannten Zuwächse lassen sich auf die folgenden Änderungen zurückführen:
Zusammenfassung der Änderungen der übergreifenden Definitionen
Auffällig ist, dass bereits in dem allgemeinen Teil der BSI-KritisV-Änderungen an den Definitionen vorgenommen wurden. Beispielsweise fallen nach § 1 Abs 1 Nr. 1c) KritisV nun auch Software und IT-Dienste unter die Anlagendefinition. Ebenfalls wird in § 1 Abs 2 KritisV nun auch der Begriff der gemeinsamen Anlage konkretisiert. „Mehrere Anlagen derselben Kategorie, die durch einen betriebstechnischen Zusammenhang verbunden sind, gelten als gemeinsame Anlage, wenn sie gemeinsam zur Erbringung derselben kritischen Dienstleistung notwendig sind.“ Somit ist kein rechtlicher Spielraum hinsichtlich der Auslegung einer Anlage sowie einer gemeinsamen Anlage gegeben. Ebenfalls wird in § 1 Abs 2 KritisV die Verantwortlichkeit definiert, wenn eine Anlage von zwei oder mehr Personen betrieben wird. „Betreiben zwei oder mehr Personen gemeinsam eine Anlage, so ist jeder für die Erfüllung der Pflichten als Betreiber verantwortlich.“
Mit der neuen BSI-KritisV wird die Definition zum Ende des Geltungsbereiches der Verordnung eingeführt. Dies erfolgt in den einzelnen Anhängen der BSI-KritisV, wurde jedoch in jedem Anhang und somit in jedem Sektor gleich definiert. „Nicht mehr als Kritische Infrastruktur gilt eine solche Anlage ab dem 1. April des Kalenderjahres, das auf das Kalenderjahr folgt, in dem Ihr Versorgungsgrad den genannten Schwellenwert unterschreitet.“ (bspw. Anhang 1 Teil 1 Nr. 3). Fällt eine Anlage beispielsweise im Kalenderjahr 2021 unter die genannten Schwellenwerte, nachdem es im Kalenderjahr 2020 diese noch überschritten hat, fällt die Anlage ab dem 1. April 2022 nicht mehr unter die Verordnung.
Zusammenfassung der Änderungen der Anlagenkategorien
In der BSI-KritisV 2.0 wurden neben den Definitionen auch Änderungen an den Anlagenkategorien vor-genommen. Insgesamt wurden 17 Analgenkategorien hinzugefügt und fünf Anlagenkategorien gelöscht. Somit ist ein genereller Zuwachs an Anlagenkategorien erfolgt.
Neu hinzugekommen sind unter anderem folgende Anlagenkategorien:
1. Energie
- Anlagen zur zentralen standortübergreifenden Steuerung im Bereich der Gasversorgung (Anhang 1 Teil 3 Nr.2.1.2)
- Gasgrenzübergabestellen (Anhang 1 Teil 3 Nr. 2.2.2)
- Ganshandelssysteme (Anhang 1 Teil 3 Nr.2.4.1)
- Anlagen zur zentralen standortübergreifenden Steuerung im Bereich der Erdölförderung und Produktherstellung (Anhang 1 Teil 3 Nr..3.1.3)
- Mineralölhandel (Anhang 1 Teil 3 Nr.3.4.1)
- Anlagen zur zentralen standortübergreifenden Steuerung im Bereich der Fernwärmeversorgung (Anhang 1 Teil 3 Nr.4.3.1)
2. Wasser
- Durch Neudefinition der Gewinnungsanlage, fallen nun auch Stauanlagen unter den Begriff Gewinnungsanlage (Anhang 2 Teil 1 Nr. 1.1)
3. IT
- Top-Level-Domain-Name-Registry (Anhang 4 Teil 3 Nr. 1.4.3)
4. Gesundheit
- Labore im Bereich er Laboratoriums Diagnostik (Anhang 5 Teil 3 Nr. 4.1)
- Laborinformationsverbund im Bereich er Laboratoriums Diagnostik (Anhang 5 Teil 3 Nr. 4.2)
5. Finanz- und Versicherungswesen
- System für das Erzeugen von Aufträgen zum Handel von Wertpapieren und Derivaten und Weiterleiten an einen Handelsplatz im Bereich der Erbringung von Aufträgen in den Handel (Anhang 6 Teil 3 Nr. 4.4.1)
- System eines Handelsplatzes im Bereich der Ausführung des Handels (Anhang 6 Teil 3 Nr. 4.5.1)
- Sonstige Depotführungssysteme für die Bestandsführung für den Kunden (Anhang 6 Teil 3 Nr. 4.6.1)
6. Transport und Verkehr
- Verkehrszentrale einer Fluggesellschaft im Luftverkehr im Bereich Personen- und Güterverkehr (Anhang 7 Teil 3 Nr. 1.1.5)
- Flughafenleitorgan im Luftverkehr im Bereich Personen- und Güterverkehr (Anhang 7 Teil 3 Nr. 1.1.5)
- Hafenleitungsorgan (nur Güterverkehr) in der See- und Binnenschifffahrt (Anhang 7 Teil 3 Nr. 1.3.4)
- Umschlaganlagen in See- und Binnenhäfen (Anhang 7 Teil 3 Nr. 1.3.5)
- ntelligentes Verkehrssystem im Straßenverkehr (Anhang 7 Teil 3 Nr. 1.4.3)
Folgende Anlagenkategorien wurden gestrichen:
1. Energie
- Erzeugungsanlage mit Wärmeauskopplung (KWK-Anlage) im Bereich der Stromversorgung (ehem. Anhang 1 Teil 3 Nr. 1.1.2)
- Messstelle im Bereich der Stromversorgung (ehem. Anhang 1 Teil 3 Nr. 1.3.2)
2. Gesundheit
- Transportsystem im Bereich der Laboratoriumsdiagnostik (ehem. Anhang 5 Teil 3 Nr. 4.1.1)
- Kommunikationssystem zur Auftrags- oder Befundübermittlung im Bereich der Laboratoriums-diagnostik (ehem. Anhang 5 Teil 3 Nr. 4.1.2)
3. Transport und Verkehr
- Verkehrssteuerungs- und Leitsystem des ÖPNV (ehem. Anhang 7 Teil 3 Nr. 1.5.2)
Zusammenfassung der Änderungen der Schwellenwerte
Neben den Änderungen an den Anlagenkategorien wurden auch Änderungen an Schwellenwerten von bestehenden Anlagenkategorien beschlossen. Dazu zählen unter anderem die Senkung der folgenden Schwellenwerte:
1. Energie
- Senkung des Schwellen