KRITIS-Verordnungen

Table and documents

Die KRITIS-Rechtsverordnung (BSI-KritisV) konkretisiert die Vorgaben aus dem BSI-Gesetz und definiert Schwellenwerte und Anlagen bei Betreibern. Die KRITIS-Methodik und Konkretisierung der Anlagen werden in der Verordnung (und nicht im Gesetz) definiert.

Es gab seit der ersten KRITIS-Verordnung vier separate Änderungsverordnungen, die Schwellenwerte und Anlagen änderten und an die Umstände anpassten.

Verordnung und Jahr In Kraft Änderungen
4. Änderung 2023 1.1.2024 Entsorgung neu
einige Schwellenwerte
3. Änderung 2023 2.3.2023 Neue Anlagen Energie/IT
2. Änderung 2021 1.1.2022 IT-Sicherheitsgesetz 2.0
viele neue Anlagen
gesunkene Schwellenwerte
1. Änderung 2017 30.6.2017 IT-Sicherheitsgesetz 1.0
Sektoren 2. Korb
1. Version 2016 3.5.2016 IT-Sicherheitsgesetz 1.0
Sektoren 1. Korb

Weitere Änderungen für NIS2 und KRITIS-Dachgesetz stehen bis 2024 noch aus.

Der Entwurf der NIS2-Umsetzung von November 2024 entält in Art. 8 eine geänderte Fassung der bisherigen BSI-Kritisverordnung für NIS2. Mit NIS2 wird möglicherweise keine neue Rechtsverordnung zur Bestimmung kritischer Anlagen erlassen, sondern die bisherige angepasst.

Neuerungen 2023

Vierte Änderung KRITIS-Verordnung

In 2023 gab es zwei KRITIS-Verordnungen: die dritte (März) und vierte (Dezember) Änderungsverordnungen, die jeweils Anlagen hinzufügen. Die vierte KRITIS-Verordnung fügt ab 2024 zusätzliche Anlagen zur KRITIS-Regulierung hinzu:

Sektor Anlage Alt
Siedlungsabfallentsorgung Neue Anlagen (2) in Sammlung und Beförderung
Neue Anlagen (5) in Verwertung und Beseitigung
-
Energie Anpassung Name Gas/Kapazitätshandel Gashandel

Sinkende Schwellenwerte ↓

Die Verordnung ändert weiterhin einige Schwellenwerte:

Sektor Anlage Alt Neu
Versicherung Verwaltungs- und Zahlungssystem GKV/PV 3 Mio. 500 Tsd Versicherte

Die Fristen für die vierte KRITIS-Verordnung mit Entwurf 2023 sind:

up

Dritte Änderung KRITIS-Verordnung

Die dritte KRITIS-Verordnung (März 2023) fügt zusätzliche Anlagen zur KRITIS-Regulierung hinzu:

Sektor Anlage Alt
Energie Neue Anlage für flüssiges Erdgas (LNG-Anlage) -
IT und TK Neue Anlage zur Anbindung von Seekabeln von Kommunikationsnetzen -

Die Frist für die geänderte KRITIS-Verordnung von März 2023 war 2.3.2023.

up

Neuerungen 2021

Zweite Änderung KRITIS-Verordnung

Die zweite Änderungsverordnung von 2021 senkt nach dem IT-Sicherheitsgesetz 2.0 einige Schwellenwerte und ergänzt und ändert die KRITIS-Anlagen 2021.

Neue Anlagen

Sektor Bereich Neu
Energie Gas Zentrale Steuerung
Energie Gas Gasgrenzübergabestelle
Energie Gas Gashandel
Energie Öl Zentrale Steuerung (Förderung)
Energie Öl Kommerzielle Steuerung (Handel)
Energie Fernwärme Zentrale Steuerung
Gesundheit Labore Laborinformationsverbund
IT Steuerung TLD-Registry
Transport Flugverkehr Flughafenleitungsorgan
Transport Flugverkehr Verkehrszentrale Fluggesellschaft
Transport Schiffahrt Hafenleitungsorgan
Transport Schiffahrt Hafenbetrieb
Transport Schiffahrt Umschlaganlage
Transport Straßenverkehr Intelligentes Verkehrssystem
Finanzen Wertpapiere Erzeugen von Aufträgen zum Handel
Finanzen Wertpapiere Handelsplatz
Finanzen Wertpapiere Sonst. Depotführung
Entsorgung noch nicht definiert

Wegfallende Anlagen ✗

Sektor Bereich Fällt weg
Energie Strom Erzeugungsanlage mit Wärmeauskopplung
Dez. Erzeugungsanlage
Speicheranlage
Messtelle
Gesundheit Labordiagnostik Transportsystem
Gesundheit Labordiagnostik Kommunikationssystem Auftrags-/Befundübermittlung
Transport ÖPNV Verkehrssteuerungs- und Leitsystem ÖPNV

Sinkende Schwellenwerte ↓

Einige Schwellenwerte bestehender Anlagen werden in der KRITIS-Verordnung 2021 (1.5) angepasst, ebenfalls kommen neue hinzu.

Sektor Anlage Alt Neu
Energie Erzeugungsanlage 420 104/0/36 MW Leistung
Energie Steuerung/Bündelung 420 104/0/36 MW Leistung
Energie Stromhandel 200 TWh 3700 GWh
IT IXP 300 100 angeschlossene AS
IT Rechenzentren 5 3,5 MW Leistung
IT Serverfarmen 25 10/15 Tsd. Instanzen

Der Schwellenwert von Logistik-Anlagen steigt anscheinend auf 17,55 Mio. Tonnen Güter und es gibt weiterhin neue Schwellenwerte:

Sektor Bereich Neu
Energie Öl 63,7 Tsd. t Flugkraftstoff
Transport Logistik 53,2 Mio. Sendungen

Definitionen

Die Verordnung konkretisiert Definitionen rund um Anlagen und ihrer IT in §1:

Die Fristen durch die KRITIS-Verordnung 2021 sind:

up

Neue Betreiber

Die neuen Schwellenwerte und Anlagendefinitionen haben Auswirkungen auf die Wirtschaft. Die Verordnung schätzt im Jahr 2023 insgesamt etwa 1.500 KRITIS-Anlagen, nachdem in 2021 von 252 zusätzlichen KRITIS-Betreibern zu knapp 1.600 bestehenden ausgegangen wurde.

Die 2021er-Schätzung:

In 2023 wurden elf zusätzliche Anlagen geschätzt, acht in Energie und drei in IT/TK.

up

Weitere Informationen

Literatur

  1. IT-Sicherheitsgesetz 2.0 auf OpenKRITIS
  2. IT-Sicherheitsgesetz: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht, Beck-Community, 27.4.2021
  3. Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022, heise online 08/2021
  4. Fragen und Antworten zur BSI-Kritisverordnung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  5. KRITIS-Sektor Siedlungsabfallentsorgung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Quellen

  1. Vierte Verordnung zur Änderung der BSI-Kritisverordnung vom 29. November 2023, BGBl. 2023 I Nr. 339 vom 06.12.2023
  2. Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
  3. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 29. November 2023 (BGBl. 2023 I Nr. 339) geändert worden ist
  4. Zweite Verordnung zur Änderung der BSI-Kritisverordnung, Bundesministeriums des Innern, o.D. (Mirror IHK Braunschweig), 18.8.21
  5. Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
  6. Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
  7. Zweites Gesetz zur Erhöhung der Sicherheit informations­technischer Systeme, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021