KRITIS-Behörden

State agency picture

Im Kontext der KRITIS-Regulierung spielen eine Vielzahl von Bundesbehörden seit dem IT-Sicherheitsgesetz von 2015 eine Rolle. Die wichtigsten Behörden für KRITIS-Betreiber sind das Bundesamt für Sicherheit in der Informationstechnik und das Innenministerium, neben sektorspezifischen Aufsichtsbehörden und bestehender Regulierung. Staatliche KRITIS-Aufgaben und Befugnisse wachsen in den 2020ern.

Eine zunehmende Rolle soll ab 2023-2024 das Bundesamt für Bevölkerungs­schutz und Katastrophenhilfe spielen, mit zusätzlicher KRITIS-Regulierung zu Resilienz und physischer Sicherheit. Die Auswirkungen auf Betreibern von überschneidenden Vorgaben und verschiedenen Meldewegen je nach Thrma bleiben abzuwarten.

Neben den nationalen Behörden reguliert ENISA (European Union Agency for Cybersecurity) auf EU-Ebene Themen rund um Cyber Security mit einer zunehmende starken Rolle der Europäischen Kommission und verschiedenere Netzwerke und Regelkreisen in der EU.

Zentrale KRITIS-Behörden

Bundesinnen­ministerium

Das Innenministerium (BMI) ist auf Bundesebene das federführende Ressort für den Schutz Kritischer Infrastrukturen und verantwortlich für die Gesetzgebung und Regulierung zu KRITIS. Das erste und zweite IT-Sicherheitsgesetz stammen aus der Feder des BMI — für die Regulierung und operativen Aufgaben untersteht ihm das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Nicht alle regulierten KRITIS-Sektoren und Betreiber fallen in die direkte Zuständigkeit des BMI — einige Betreiber unterliegen zusätzlich zum IT-Sicherheitsgesetz noch bisheriger Regulierung durch BNetzA (Wirtschaftsministerium), BaFin (Finanzministerium) und weitere.

up

Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Stelle für die Sicherheit Kritischer Infrastrukturen in Deutschland und wichtigste KRITIS-Behörde.

Im BSI ist der Fachbereich WG 1 für die Cyber Security in Kritischen Infrastrukturen zuständig mit insgesamt fünf Referaten WG 11 bis WG 15. Die KRITIS-Referate, Anfang der 2010er noch ein einzelnes Referat, sind in den 2020ern aufgeteilt in drei Sektor-, ein Grundsatz- und ein Prüfungsreferat.

Die KRITIS-Verantwortlichkeiten des BSI sind in §8a und §3 BSIG definiert und mit dem IT-Sicherheitsgesetz 1.0 von 2015 deutlich gewachsen:

Die Aufgaben und Rechte vom BSI haben durch das IT-Sicherheitsgesetz 2.0 in 2021 deutlich zugenommen – mit einem Wachstum von knapp 800 Planstellen, und werden ab 2023-24 durch EU NIS 2 und IT-Sicherheitsgesetz 3.0 nochmal stark expandieren.

Zu Ende 2022 besteht das BSI laut aktuellem Organisationsplan aus folgenden fachlichen Abteilungen und Bereichen:

up

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in Bonn ist ebenfalls in den Schutz Kritischer Infrastrukturen eingebunden. Im BBK beschäftigen sich die Referate II.3 und II.4 mit KRITIS-Themen – u.a. KRITIS-Strategien, Zusammenarbeit von Bund, Ländern und EU, KRITIS-Sektoren, Schutzkonzepte und Risikomanagement.

Das BBK ist darüberhinaus in vielen Forschungsprojekten, methodischen Entwicklungen und Publikationen zum Schutz Kritischer Infrastrukturen tätig.

Das BBK soll im KRITIS-Dachgesetz und für EU RCE/CER die Competent authority, die nationale Behörde für den physischen Schutz kritischer Infrastrukturen, werden und Meldungen über Sicherheits­vorfälle annehmen und generell Resilienz und Vorsorge­maßnahmen bei KRITIS-Betreiber regulieren und überwachen.

Zu Ende 2022 besteht das BBK laut aktuellem Organisationsplan aus folgenden Abteilungen:

up

Weitere Aufsichtsbehörden

Bundesnetzagentur

Die Bundesnetzagentur (BNetzA) ist im Ressort des Wirtschaftsministerium verantwortlich für die Regulierung von Infrastrukturen und deren Betreibern — darunter auch KRITIS-Betreiber aus den Sektoren Telekommunikation, Energie und Transport.

Die BNetzA ist zuständig für Sicherheitsanforderungen aus u.a. TKG und EnWG für Sicherheit in Infrastrukturen, Anlagen und Diensten. Für bestimmte KRITIS-Sektoren gibt es doppelte Pflichten und teilweise abweichende Berichtswege neben dem BSI zur BNetzA:

Betreiber in den Sektoren Energie und Telekommunikation müssen sich, je nach Anlagen und Dienst, bei der BNetzA registrieren, Vorfälle melden und den Sicherheitskatalog (Energie) bzw. ein Sicherheitskonzept (Telekommunikation) umsetzen.

Bundesanstalt für Finanz­dienstleistungs­aufsicht

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) teilt sich mit dem BSI die Aufsicht von KRITIS-Betreibern aus dem Finanz- und Versicherungssektor — Banken, Versicherungen und ihren Dienstleistern. Betreiber im Sektor unterliegen neben dem BSIG teilweise dem KWG, dem ZAG, SSM-Verordnung und der Regulierung der Europäischen Zentralbank (EZB).

Für die Belange dieser Betreiber gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Kritische Infrastrukturen. Dies soll Doppelbelastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.

up

European Union Agency for Cybersecurity

Die ENISA ist die übergreifende, koordinierende Behörde (Agentur) für Cyber Security in der EU. Gegründet 2004 als European Network and Information Security Agency haben sich Portfolio, Benennung und Aufgaben in Anbetracht der politischen Lage und Regulierung Kritischer Infrastrukturen deutlich verändert und seit den 2010er Jahren erweitert.

Reguliert duch den EU Cybersecurity Act (EU 2019/881) koordiniert, entwickelt und forscht die ENISA EU-relevante Themen in operativen Units und thematischen Sektoren:

up

Weitere Informationen

Literatur

  1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
  2. Das BSI - Auftrag, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
  3. Das BSI - Kurzprofil, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
  4. Die Lage der IT-Sicherheit in Deutschland, Bundesamt für Sicherheit in der Informationstechnik, jährlich
  5. BSI-Magazin Mit Sicherheit, Bundesamt für Sicherheit in der Informationstechnik, halbjährlich

Quellen

  1. Abteilung WG - Cyber-Sicherheit für Wirtschaft und Gesellschaft, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
  2. Aufgaben - Kritische Infrastrukturen, Webseite des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe, o.D.
  3. Organisationsplan, Bundesamt für Sicherheit in der Informationstechnik, 15. Juli 2022
  4. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  5. Telekommunikation - Katalog von Sicherheitsanforderungen, Bundesnetzagentur, Version 2.0, 29.04.2020
  6. IT-Sicherheit im Energiesektor für Strom/Gas und Energieanlagen, Bundesnetzagentur, August 2015 und Dezember 2018
  7. Aufsicht über Kritische Infrastrukturen im Finanzwesen - ein Überblick über den Status quo, BaFinPerspektiven 1 | 2020, Bundesanstalt für Finanzdienstleistungsaufsicht, Mai 2020
  8. Organigramm des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe, BBK, 9. November 2022
  9. About ENISA - The European Union Agency for Cybersecurity, ENISA-Webseite, 2022-04-20
  10. ENISA Single Programming Document 2022–2024, ENISA ISBN 978-92-9204-547-0, 2022