Kritische Infrastrukturen

Energy industry picture

Die KRITIS-Regulierung verpflichtet Betreiber Kritischer Infrastrukturen in Deutschland mit dem BSI-Gesetz zu Cybersecurity in KRITIS-Anlagen. Damit soll die Versorgung der deutschen Gesellschaft und Wirtschaft mit kritischen Dienst­leistungen in KRITIS-Sektoren durch Betreiber-Pflichten geschützt werden.

In Deutschland ändert sich die Regulierung ab 2024 mit dem KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz deutlich. Beide setzen EU-Regulierung um: NIS2 und RCE. Der Umfang betroffener Unternehmen erweitert sich in Deutschland deutlich, von 2.000 auf über 30.000. Für Finanzunternehmen wird anstelle von NIS2 DORA als sektorspezifische Umsetzung gelten.

Skyline picture

NIS2 und KRITIS-Dachgesetz: Was kommt auf Unternehmen zu?

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2024
Deutsch ∙ PDF ∙ Februar 2024 ∙ OpenKRITIS-Briefing

English version of this page available at German Critical Infrastructures.

Wer ist betroffen?

KRITIS bis 2024

Sektoren

Die bis 2024 gültige KRITIS-Regulierung definiert acht KRITIS-Sektoren in der Wirtschaft, in denen KRITIS-Betreiber kritische Dienstleistungen zur Versorgung der Allgemeinheit erbringen:

  1. Energie
  2. Wasser
  3. Ernährung
  4. Gesundheit
  5. Transport und Verkehr
  6. Entsorgung
  7. IT und TK
  8. Finanzen und Versicherungen

KRITIS-Anlagen

Die kritischen Dienstleistungen werden bei Betreibern in KRITIS-Anlagen erbracht, definiert in der KRITIS-Verordnung. Die Anlagen dienen Betreibern zur eigenen Identifikation der eigenen KRITIS-Betroffenheit und der Festlegung des Geltungsbereichs im Unternehmen.

Betreiber

Überschreitet ein Betreiber mit seinen KRITIS-Anlagen definierte Schwellenwerte der KRITIS-Verordnung, werden diese zur Kritischen Infrastruktur und er selbst zum KRITIS-Betreiber. Damit hat er dann Pflichten wie Sicherheitsmaßnahmen, Vorfallsmeldungen und Prüfungen.

up

NIS2 und KRITIS ab 2024

Sektoren

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz (EU RCE) ändern sich Sektoren und Betreiber, es kommen Tausende mittlere und Großunternehmen als Einrichtungen dazu.

  1. Energie
  2. Wasser und Abwasser
  3. Gesundheit
  4. Transport und Verkehr
  5. IT und TK
  6. Finanzen und Versicherungen†
  7. Weltraum
  8. Ernährung
  9. Entsorgung
  10. Post/Kurier
  11. Chemie
  12. Verarbeitendes Gewerbe
  13. Digitale Dienste
  14. Forschung
  15. Staat

  - kritische Anlage     - besonders wichtig     - wichtig
† - Unternehmen größtenteils ausgenommen und durch DORA reguliert
eigene Zusammenstellung NIS2-Entwurf Dezember 2023

Unternehmen

Die NIS2-Umsetzung definiert drei (vier) Gruppen an betroffenen Unternehmen, die Pflichten wie Registrierung, Sicherheitsmaßnahmen, Vorfallsmeldungen und Resilienz umsetzen müssen.

  1. Besonders wichtige Einrichtungen nach Größe des Unternehmens in NIS2-Sektoren (1)
    G Unternehmen ab 250 Mitarbeitern oder
    G Unternehmen ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR
    U Sonderfälle: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung
  2. Wichtige Einrichtungen nach Größe des Unternehmens in NIS2-Sektoren (1 und 2)
    M Unternehmen ab 50 Mitarbeitern oder
    M Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR
    U Vertrauensdienste
  3. Betreiber kritischer Anlagen (KRITIS-Betreiber) stellen weiterhin mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung und KRITIS-Dachgesetz fest
       KRITIS-Anlage über Schwellenwert (in der Regel ≥ 500 Tsd. versorgte Personen)
  4. Neben Einrichtungen werden auch Bundeseinrichtungen mit einigen Pflichten reguliert.

up

Regulierung

Deutschland

Gesetze und Verordnungen

Die KRITIS-Regulierung in Deutschland beruht seit 2015 auf dem IT-Sicherheitsgesetz (IT-SiG) und der KRITIS-Verordnung (KritisV), die den grundlegenden Rahmen für KRITIS stellen. Als Artikelgesetz ändert das IT-SiG bestehende Gesetze, das wichtigste ist das BSI-Gesetz BSIG, das Pflichten und Aufgaben vom BSI und den Betreibern Kritischer Infrastrukturen festlegt.

Das aktuelle IT-Sicherheitsgesetz 2.0 wurde mit langem Vorlauf nach den Erfahrungen seit 2015 entwickelt und trat Mai 2021 in Kraft. Die KRITIS-Verordnung wurde bis 2023 überarbeitet.

Ab 2024

Auf EU-Ebene gab es 2020 Bestrebungen, die Vorgaben für Kritische Infrastrukturen tiefer und verbindlicher zu machen – mit den EU NIS 2 (Cyber Security) und EU RCE (Resilienz) Direktiven. RCE wird im KRITIS-Dachgesetz umgesetzt, NIS2 in der NIS2-Umsetzung, kurz NIS2UmsuCG. Beide treten im Oktober 2024 in Kraft

Das KRITIS-Dachgesetz wird ein eigenständiges Gesetz, das Resilienz bei Betreibern kritischer Anlagen ab 2024 regelt. Die NIS2-Umsetzung ändert vor allem das bestehende BSI-Gesetz.

eigene Zusammenstellung nach Referentenentwürfen, Dezember 2023
NIS2-Umsetzung KRITIS-Dachgesetz
Fokus Cybersecurity Resilienz
Name NIS2UmsuCG KRITIS-DachG
Hauptgesetz ändert BSIG eigenes Gesetz
Ändert noch EnWG, TKG, usw. keine
Unternehmen Betreiber kritischer Anlagen
Einrichtungen
Bundesverwaltung		 Betreiber kritischer Anlagen

Bundesverwaltung
Referentenentwürfe drei zwei
Tritt in Kraft Oktober 2024 Oktober 2024
Behörde BSI BBK
Basiert auf EU NIS2 EU RCE

Behörden

Die wichtigsten Behörden für KRITIS sind in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Aufsichtsbehörde und das Bundesinnenministerium (BMI) als federführendes Ressort. Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) erhält ab 2024 ebenfalls Zuständigkeiten für Betreiber.

Der Staat verfügt über verschiedene Sanktionsmöglichkeiten gegenüber Einrichtungen und KRITIS-Betreibern, die mit NIS2 ab 2024 weiter anwachsen.

up

Der europäische Rahmen

Die deutsche KRITIS-Regulierung ist durch die EU NIS-Direktive in einen europäischen Kontext gebettet. Die Directive on Security of Network and Information Systems von 2016 war das erste EU-weite Gesetz über Cyber Security. Die überarbeitete EU NIS2 Direktive erweitert die Sektoren in der EU deutlich, ebenso Cyber Security Pflichten und EU-Aufsicht.

Neben NIS spielt die EU RCE Direktive eine wichtige Rolle für Kritische Infrastrukturen in der EU. Die Directive on the resilience of critical entities reguliert speziell Anforderungen an die Betreiber Kritischer Infrastrukturen in der EU.

EU NIS2 und RCE wurden Ende 2022 vom europäischen Parlament und Rat angenommen und müssen bis Oktober 2024 in nationales Recht überführt werden. RCE wird 2023 mit dem KRITIS-Dachgesetz aufgegriffen, für EU NIS2 liegt ein Entwurf für das Umsetzungsgesetz vor.

DORA gilt im Gegenzug zu NIS2 und RCE als EU-Verordnung direkt in allen Mitgliedsstaaten und reguliert primär Finanzunternehmen mit umfangreicher digitaler operationaler Resilienz.

up

Weitere Informationen

Bibliothek

Eine Vielzahl an Dokumenten wurde seit Mitte der 2000er von der öffentlichen Verwaltung zum Thema Kritische Infrastrukturen publiziert — die KRITIS-Bibliothek listet einige der relevanten Studien, Strategien, Leitfäden und Gesetzestexte auf.

Quellen

  1. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
  2. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  4. Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, 27.12.2022.