KRITIS-Behörden
Im Kontext der KRITIS-Regulierung spielen eine Vielzahl von Bundesbehörden seit dem IT-Sicherheitsgesetz von 2015 eine Rolle. Die wichtigsten Behörden für KRITIS-Betreiber sind das Bundesamt für Sicherheit in der Informationstechnik und das Innenministerium, neben sektorspezifischen Aufsichtsbehörden und bestehender Regulierung. Staatliche KRITIS-Aufgaben und Befugnisse wachsen in den 2020ern.
Eine zunehmende Rolle soll ab 2023-2024 das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe spielen, mit zusätzlicher KRITIS-Regulierung zu Resilienz und physischer Sicherheit. Die Auswirkungen auf Betreibern von überschneidenden Vorgaben und verschiedenen Meldewegen je nach Thrma bleiben abzuwarten.
Neben den nationalen Behörden reguliert ENISA (European Union Agency for Cybersecurity) auf EU-Ebene Themen rund um Cyber Security mit einer zunehmende starken Rolle der Europäischen Kommission und verschiedenere Netzwerke und Regelkreisen in der EU.
Zentrale KRITIS-Behörden
Bundesinnenministerium
Das Innenministerium (BMI) ist auf Bundesebene das federführende Ressort für den Schutz Kritischer Infrastrukturen und verantwortlich für die Gesetzgebung und Regulierung zu KRITIS. Das erste und zweite IT-Sicherheitsgesetz stammen aus der Feder des BMI — für die Regulierung und operativen Aufgaben untersteht ihm das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Nicht alle regulierten KRITIS-Sektoren und Betreiber fallen in die direkte Zuständigkeit des BMI — einige Betreiber unterliegen zusätzlich zum IT-Sicherheitsgesetz noch bisheriger Regulierung durch BNetzA (Wirtschaftsministerium), BaFin (Finanzministerium) und weitere.
Bundesamt für Sicherheit in der Informationstechnik
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Stelle für die Sicherheit Kritischer Infrastrukturen in Deutschland und wichtigste KRITIS-Behörde.
Im BSI ist der Fachbereich WG 1 für die Cyber Security in Kritischen Infrastrukturen zuständig mit insgesamt fünf Referaten WG 11 bis WG 15. Die KRITIS-Referate, Anfang der 2010er noch ein einzelnes Referat, sind in den 2020ern aufgeteilt in drei Sektor-, ein Grundsatz- und ein Prüfungsreferat.
Die KRITIS-Verantwortlichkeiten des BSI sind in §8a und §3 BSIG definiert und mit dem IT-Sicherheitsgesetz 1.0 von 2015 deutlich gewachsen:
- Zentrale Meldestelle für Betreiber Kritischen Infrastrukturen
- Zentrales Lagebild für die IT-Sicherheit Kritischer Infrastrukturen
- Warnungen an KRITIS-Betreiber und Behörden zur Abwehr von Gefahren
- Registrierungen von KRITIS-Betreibern und KRITIS-Anlagen
- Abnahme der Unterlagen der KRITIS-Nachweisprüfungen
- Berichtswesen zu Kritischen Infrastrukturen an das BMI und innerhalb der EU
- Verwaltungsbehörde für Bußgelder bei Verstößen gegen KRITIS BSIG-Anforderungen
Die Aufgaben und Rechte vom BSI haben durch das IT-Sicherheitsgesetz 2.0 in 2021 deutlich zugenommen – mit einem Wachstum von knapp 800 Planstellen, und werden ab 2023-24 durch EU NIS 2 und IT-Sicherheitsgesetz 3.0 nochmal stark expandieren.
Zu Ende 2022 besteht das BSI laut aktuellem Organisationsplan aus folgenden fachlichen Abteilungen und Bereichen:
- TK Technik-Kompetenzzentren zu IT-Systemen und Infrastrukturen (9 Referate)
- KM Krypto-Technik und IT-Management (19 Referate)
- OC Operative Cyber-Sicherheit mit CERT, MIRT, SOC und Sicherheitslage (16 Referate)
- SZ Standardisierung, Zertifizierung und Telekommunikation (13 Referate)
- DI Digitalisierung und elektronische Identitäten (11 Referate)
- BL Beratung für Bund, Länder und Kommunen (17 Referate)
- WG Wirtschaft und Gesellschaft inklusive der fünf KRITIS-Referate (13 Referate)
- Leitung durch den Präsidenten, seinen Stab und Abteilung Z, der Verwaltung
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in Bonn ist ebenfalls in den Schutz Kritischer Infrastrukturen eingebunden. Im BBK beschäftigen sich die Referate II.3 und II.4 mit KRITIS-Themen – u.a. KRITIS-Strategien, Zusammenarbeit von Bund, Ländern und EU, KRITIS-Sektoren, Schutzkonzepte und Risikomanagement.
Das BBK ist darüberhinaus in vielen Forschungsprojekten, methodischen Entwicklungen und Publikationen zum Schutz Kritischer Infrastrukturen tätig.
Das BBK soll im KRITIS-Dachgesetz und für EU RCE/CER die Competent authority, die nationale Behörde für den physischen Schutz kritischer Infrastrukturen
, werden und Meldungen über Sicherheitsvorfälle annehmen und generell Resilienz und Vorsorgemaßnahmen bei KRITIS-Betreiber regulieren und überwachen.
Zu Ende 2022 besteht das BBK laut aktuellem Organisationsplan aus folgenden Abteilungen:
- I Krisenmanagement mit Übungen, Warnung, Lagezentrum (5 Referate)
- II Risiko-Management, Bevölkerungsschutz, KRITIS und Internationales (6 Referate)
- III Wissenschaft und Technik (5 Referate)
- IV Bundesakademie für Bevölkerungsschutz und Zivile Verteidigung (6 Referate)
- Leitung durch den Präsidenten, sein Büro, Krisenstab und Abteilung Z, zentralen Diensten
Weitere Aufsichtsbehörden
Bundesnetzagentur
Die Bundesnetzagentur (BNetzA) ist im Ressort des Wirtschaftsministerium verantwortlich für die Regulierung von Infrastrukturen und deren Betreibern — darunter auch KRITIS-Betreiber aus den Sektoren Telekommunikation, Energie und Transport.
Die BNetzA ist zuständig für Sicherheitsanforderungen aus u.a. TKG und EnWG für Sicherheit in Infrastrukturen, Anlagen und Diensten. Für bestimmte KRITIS-Sektoren gibt es doppelte Pflichten und teilweise abweichende Berichtswege neben dem BSI zur BNetzA:
Betreiber in den Sektoren Energie und Telekommunikation müssen sich, je nach Anlagen und Dienst, bei der BNetzA registrieren, Vorfälle melden und den Sicherheitskatalog (Energie) bzw. ein Sicherheitskonzept (Telekommunikation) umsetzen.
Bundesanstalt für Finanzdienstleistungsaufsicht
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) teilt sich mit dem BSI die Aufsicht von KRITIS-Betreibern aus dem Finanz- und Versicherungssektor — Banken, Versicherungen und ihren Dienstleistern. Betreiber im Sektor unterliegen neben dem BSIG teilweise dem KWG, dem ZAG, SSM-Verordnung und der Regulierung der Europäischen Zentralbank (EZB).
Für die Belange dieser Betreiber gibt es in den Bankaufsichtlichen Anforderungen an die IT (BAIT) seit 2018 ein KRITIS-Modul für Kritische Infrastrukturen. Dies soll Doppelbelastungen vermeiden und konkretisiert zusätzliche Anforderungen für KRITIS-Betreiber und die Möglichkeit, die BSIG-Nachweise im Rahmen der Jahresabschlussprüfung zu erbringen.
European Union Agency for Cybersecurity
Die ENISA ist die übergreifende, koordinierende Behörde (Agentur) für Cyber Security in der EU. Gegründet 2004 als European Network and Information Security Agency haben sich Portfolio, Benennung und Aufgaben in Anbetracht der politischen Lage und Regulierung Kritischer Infrastrukturen deutlich verändert und seit den 2010er Jahren erweitert.
Reguliert duch den EU Cybersecurity Act (EU 2019/881) koordiniert, entwickelt und forscht die ENISA EU-relevante Themen in operativen Units und thematischen Sektoren:
- Leitung umfasst die operative Leitung der ENISA durch den Executive Director und die strategische Aufsicht durch Management Board und operativ das Executive Board.
- Units sind die funktionalen Bereiche, die für Aktivitäten, Regulierung und Initiativen zuständig sind und die operative übergreifende Arbeit (Dienste) leiten.
- Policy Development and Implementation (PDI): Entwicklung von Cybersecurity Policy für die EU und Begleitung der Umsetzung
- Capacity Building (CBU): Aufbau und Unterstützung von Strukturen in Mitgliedsstaaten
- Operational Coordination (OCU): Kooperation und Koordinierung zwischen EU-Behörden und innerhalb der EU mit Mitgliedsstaaten und Akteuren
- Market Certification and Standardisation (MCS): Analyse und Vorgaben zum Cybersecurity-Markt, Produkten und Zertifizierungen in der EU
- Sektoren sind die fachlichen Teams in einer Matrix-Struktur, in denen die Fachthemen verantwortet werden, die für die Aktivitäten der Units (s.o.) bearbeitet werden.
- Network and Information Systems (NIS): Kritische Infrastrukturen und Betreiber, NIS 2, Digitale Dienste, Datenschutz, TK, Cloud und vieles mehr.
- Exercises and Training: Übungen, Awareness für Cyber Security, EU Security-Challenges, Rahmenwerke zur Ausbildung
- Operations and Situational Awareness (OSA): Threat Intelligence, Schwachstellen, Vorfälle und Krisen und operative Koordination in der EU
- Cybersecurity Certification (CCS): EU Cybersecurity Certification und weiteres
- Netzwerke ist die Einbettung und Koordinierung der ENISA von EU-Netzen und Gruppen:
- National Liasions: Informationsaustausch zwischen ENISA und Mitgliedsstaaten durch NLOs, die National Liaison Officers
- Ad hoc Working Groups: Arbeitsgruppen mit externen Stakeholdern und Experten, die einzelne Themen im Arbeitsprogramm der ENISA beraten
- Behörden: Zusammenarbeit von Regulierungsbehörden in bestimmten Themenfeldern wie KRITIS (Cooperation Group), Resilienz (Critical Entities Resilience Group)
- EU: Kooperation innerhalb der EU wie der Joint Cyber Unit (JCU), Cyber Crisis Liaison Organisation Network (CyCLONe) und CSIRTs
- Stab und Support: Unterstützungsfunktionen wie IT, Compliance, Kommunikation etc. sind in den beiden Units Executive Director Office (EDO) und Corporate Support Services (CSS) zusammengefasst. Zusätzlich wird der Director durch die Advisory Group zur Strategie und Planung und dem Arbeitsprogramm beraten.
Weitere Informationen
Literatur
- Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
- Das BSI - Auftrag, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
- Das BSI - Kurzprofil, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
- Die Lage der IT-Sicherheit in Deutschland, Bundesamt für Sicherheit in der Informationstechnik, jährlich
- BSI-Magazin Mit Sicherheit, Bundesamt für Sicherheit in der Informationstechnik, halbjährlich
Quellen
- Abteilung WG - Cyber-Sicherheit für Wirtschaft und Gesellschaft, Webseite des Bundesamts für Sicherheit in der Informationstechnik, o.D.
- Aufgaben - Kritische Infrastrukturen, Webseite des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe, o.D.
- Organisationsplan, Bundesamt für Sicherheit in der Informationstechnik, 15. Juli 2022
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Telekommunikation - Katalog von Sicherheitsanforderungen, Bundesnetzagentur, Version 2.0, 29.04.2020
- IT-Sicherheit im Energiesektor für Strom/Gas und Energieanlagen, Bundesnetzagentur, August 2015 und Dezember 2018
- Aufsicht über Kritische Infrastrukturen im Finanzwesen - ein Überblick über den Status quo, BaFinPerspektiven 1 | 2020, Bundesanstalt für Finanzdienstleistungsaufsicht, Mai 2020
- Organigramm des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe, BBK, 9. November 2022
- About ENISA - The European Union Agency for Cybersecurity, ENISA-Webseite, 2022-04-20
- ENISA Single Programming Document 2022–2024, ENISA ISBN 978-92-9204-547-0, 2022