Regulierte Unternehmen
Unternehmen in KRITIS-Sektoren, deren Anlagen Schwellenwerte überschreiten, fallen als Kritische Infrastruktur unter die KRITIS-Regulierung. Versorgen diese definierten Anlagen mehr als 500 Tsd. Personen mit einer kritischen Dienstleistung, werden Betreiber in der Regel KRITIS. Mit EU NIS2 vertiefen sich Cybersecurity-Anforderungen, mit dem KRITIS-Dachgesetz die Resilienz-Vorgaben.
Die Pflichten als KRITIS-Betreiber und NIS2-Einrichtung beginnen mit der Identifikation als Kritische Infrastruktur, gefolgt von Meldepflichten, der Umsetzung von Cybersecurity-Maßnahmen bis zu regelmäßigen Prüfungen und Nachweisen. Im eigenen Geltungsbereich müssen Unternehmen vom BSI vorgegebene Reifegrade umsetzen.
Pflichten von KRITIS-Betreibern
| Pflicht | Handlung | Verantwortlich (A) |
Durchführung (R) |
Dritte (C/I) |
Wann |
|---|---|---|---|---|---|
| Identifikation | Analyse KRITIS-Anlagen und eigene Betroffenheit | Geschäftsleitung | jährlich | ||
| Registrierung | Meldung KRITIS-Anlagen Registrierung beim BSI |
Geschäftsleitung | BSI | nach Identifikation | |
| Geltungsbereich | KRITIS-Anlagen definieren Scope im Unternehmen |
Geschäftsleitung | KRITIS-Officer | nach Identifikation | |
| Meldungen | Meldung Angriffe und Vorfälle ans BSI | Geschäftsleitung | IT-Sicherheit | BSI | unverzüglich |
| Komponenten | Kritische Komponenten identifizieren & melden | Geschäftsleitung | KRITIS-Officer | BMI | vor Einsatz |
| Cybersecurity | Maßnahmen umsetzen §8a (1) BSIG Stand der Technik | Geschäftsleitung | Fachbereiche IT-Sicherheit |
regelmäßig | |
| Reifegrade | Reifegrade erreichen durch Maßnahmen (RUN) | Geschäftsleitung | Fachbereiche IT-Sicherheit |
regelmäßig | |
| Angriffserkennung | Maßnahmen umsetzen §8a (1a) BSIG und OH SzA | Geschäftsleitung | IT-Sicherheit | regelmäßig | |
| Prüfungen | Nachweis Cyber Security in KRITIS-Anlagen | Geschäftsleitung | KRITIS-Prüfer | BSI | zweijährlich |
| Bußgelder | Sanktionen bei Verstößen gegen das BSIG | Geschäftsleitung | BSI | bei Anlaß |
Wie werde ich KRITIS-Betreiber?
Betreiber sind für die Identifikation und Feststellung der Betroffenheit ihrer Anlagen und Schwellenwerte selbst verantwortlich. Die Analyse beginnt bei den Dienstleistungen der KRITIS-Sektoren — Betreiber müssen mögliche KRITIS-Anlagen im eigenen Betrieb identifizieren und das Überschreiten von Schwellenwerten dabei selbst erkennen.
Werden Schwellenwerte von Anlagen überschritten, müssen Betreiber diese Anlage beim BSI als Kritische Infrastruktur und sich selbst als KRITIS-Betreiber registrieren. Anlagen und Betreiber, die in KRITIS-Sektoren über 500 Tsd. Personen versorgen, sind meist KRITIS. Die Schwellenwerte sind jedoch zwischen den KRITIS-Anlagen unterschiedlich.
Die Pflichten als KRITIS-Betreiber beginnen unmittelbar nach Identifikation (Meldungen, Schutzmaßnahmen) und müssen spätestens zwei Jahre danach dem BSI durch Prüfung nachgewiesen werden.
Gibt es Listen?
Nein. Die Listen registrierter Betreiber und Anlagen sind nicht öffentlich. Der Gesetzgeber spricht 2021 von etwa 1.600 registrierten Betreibern.
Geltungsbereich
Der Geltungsbereich von KRITIS-Anlagen beschreibt in Unternehmen die für den Betrieb der KRITIS-Anlage notwendigen Prozesse und Technologien (IT und OT) und legt die Grenzen der Kritischen Infrastruktur fest. Der Geltungsbereich ist im weiteren KRITIS-Verlauf relevant für:
- Cybersecurity Maßnahmen: Der Geltungsbereich definiert die Grenzen der in den Anlagen notwendigen Sicherheitsvorkehrungen (durch angemessene Maßnahmen).
- BSIG Nachweisprüfungen: Bei der Prüfung der Sicherheitsvorkehrungen in den KRITIS-Anlagen definiert der Geltungsbereich den Scope der Prüfung für den KRITIS-Prüfer.
Zum Geltungsbereich gehören weiterhin der Netzstrukturplan (NSP) der KRITIS-Anlage und eine Dokumentation der (externen) Schnittstellen und Datenflüsse.
Meldungen an das BSI
Nach der Registrierung unterliegen KRITIS-Betreiber weiterhin einem Austausch mit dem BSI und Meldepflichten. Stören Angriffe oder Vorfälle die kritische Dienstleistung der KRITIS-Anlage oder haben das Potenzial dazu, müssen Betreiber den Vorfall an das BSI melden. Das BSI kann während der Bewältigung Informationen ersuchen und Unterstützung anbieten.
Die Informationspflichten an das BSI haben seit 2021 mit dem IT-Sicherheitsgesetz 2.0 zugenommen — mit mehr Informationen zur IT/OT und noch tieferen Daten zu Angriffen und Schwachstellen. Ebenfalls müssen Betreiber bestimmter Sektoren den Einsatz von kritischen Komponenten in KRITIS-Anlagen vom BMI freigeben lassen. Ab 2025 werden sich Pflichten und Meldefristen mit NIS2 verschärfen.
Cybersecurity
Mit der Betroffenheit als Kritische Infrastruktur sind KRITIS-Betreiber für Cybersecurity und IT-Sicherheit in ihren KRITIS-Anlagen im Geltungsbereich verantwortlich. Dazu müssen Betreiber in den KRITIS-Anlagen wirksame Cybersecurity Maßnahmen umsetzen, unter anderem:
- Sicherheitsmanagement: Management-Systeme wie ISMS und Risikomanagement zur Steuerung von Cyber-Risiken in den KRITIS-Anlagen.
- Resilienz: Management-Systeme wie BCMS und Krisenmanagement zur Vorbereitung auf und Bewältigung von Notfällen.
- Technologie: Maßnahmen nach Stand der Technik schützen die IT, OT, Infrastruktur und Betriebsorganisation der KRITIS-Anlagen beim Betreiber.
- Angriffserkennung: Systeme und Prozesse zur Detektion wie SIEM und IDS aber auch CSIRT und SOC ermöglichen eine angemessene Reaktion auf Störungen und Angriffe.
- Reifegrade: Umsetzung von Security-Maßnahmen in definierten Reifegraden vom BSI (RUN).
Prüfungen
Die Angemessenheit und Wirksamkeit der IT-Sicherheitsmaßnahmen in den KRITIS-Anlagen müssen KRITIS-Betreiber alle zwei Jahre durch Prüfungen oder Audits nachweisen. KRITIS-Betreiber müssen die Prüfungen selbst planen und beauftragen.
In den §8a BSIG Nachweisprüfungen untersuchen (in der Regel externe) Prüfer den KRITIS-Geltungsbereich, das dortige Risiko-Management und das Vorhandensein (Angemessenheit) und die Effektivität (Wirksamkeit) von Cyber Security Maßnahmen.
Das komplette Prozedere zur Vorbereitung, Durchführung und Management dieser Prüfungen für KRITIS-Betreiber ist in einem separaten Abschnitt zu Prüfungen erläutert.
Verstöße
Verstöße gegen KRITIS-Regularien im BSIG sind als Ordnungswidrigkeiten mit Sanktionen belegt — kommen Betreiber ihren Pflichten nicht nach, kann dies zu Bußgeldern führen.
Weitere Informationen
Quellen
- Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist