KRITIS-Verordnungen
Die KRITIS-Rechtsverordnung (BSI-KritisV) konkretisiert die Vorgaben aus dem BSI-Gesetz und definiert Schwellenwerte und Anlagen bei Betreibern. Die KRITIS-Methodik und Konkretisierung der Anlagen werden in der Verordnung (und nicht im Gesetz) definiert.
- Schwellenwerte: Anpassungen der Schwellenwerte von KRITIS-Anlagen
- Anlagen: Neue und geänderte KRITIS-Anlagen in bestehenden Sektoren 2021
- Neue Anlagen: Ergänzung neuer Anlagen und Infrastrukturen 2023
Es gab seit der ersten KRITIS-Verordnung vier separate Änderungsverordnungen, die Schwellenwerte und Anlagen änderten und an die Umstände anpassten.
| Verordnung und Jahr | In Kraft | Änderungen |
|---|---|---|
| 4. Änderung 2023 | 1.1.2024 | Entsorgung neu einige Schwellenwerte |
| 3. Änderung 2023 | 2.3.2023 | Neue Anlagen Energie/IT |
| 2. Änderung 2021 | 1.1.2022 | IT-Sicherheitsgesetz 2.0 viele neue Anlagen gesunkene Schwellenwerte |
| 1. Änderung 2017 | 30.6.2017 | IT-Sicherheitsgesetz 1.0 Sektoren 2. Korb |
| 1. Version 2016 | 3.5.2016 | IT-Sicherheitsgesetz 1.0 Sektoren 1. Korb |
Weitere Änderungen für NIS2 und KRITIS-Dachgesetz stehen bis 2024 noch aus.
Neuerungen 2023
Vierte Änderung KRITIS-Verordnung
In 2023 gab es zwei KRITIS-Verordnungen: die dritte (März) und vierte (Dezember) Änderungsverordnungen, die jeweils Anlagen hinzufügen. Die vierte KRITIS-Verordnung fügt ab 2024 zusätzliche Anlagen zur KRITIS-Regulierung hinzu:
| Sektor | Anlage | Alt |
|---|---|---|
| Siedlungsabfallentsorgung | Neue Anlagen (2) in Sammlung und Beförderung Neue Anlagen (5) in Verwertung und Beseitigung |
- |
| Energie | Anpassung Name Gas/Kapazitätshandel | Gashandel |
Sinkende Schwellenwerte ↓
Die Verordnung ändert weiterhin einige Schwellenwerte:
| Sektor | Anlage | Alt | Neu | |
|---|---|---|---|---|
| Versicherung | Verwaltungs- und Zahlungssystem GKV/PV | 3 Mio. | ↓ | 500 Tsd Versicherte |
Die Fristen für die vierte KRITIS-Verordnung mit Entwurf 2023 sind:
- Veröffentlich 6.12.2023
- Inkrafttreten 1.1.2024
Dritte Änderung KRITIS-Verordnung
Die dritte KRITIS-Verordnung (März 2023) fügt zusätzliche Anlagen zur KRITIS-Regulierung hinzu:
- Energie: Neue Anlage für flüssiges Erdgas (LNG-Anlage) in 2023
- IT: Neue Anlage zur Anbindung von Seekabeln von Kommunikationsnetzen in 2023
Die Fristen für die geänderte KRITIS-Verordnung von März 2023 sind:
- Inkrafttreten 2.3.2023
Neuerungen 2021
Zweite Änderung KRITIS-Verordnung
Die zweite Änderungsverordnung von 2021 senkt nach dem IT-Sicherheitsgesetz 2.0 einige Schwellenwerte und ergänzt und ändert die KRITIS-Anlagen 2021:
- Energie und Strom: Schwellenwerte in der Stromerzeugung und Handel sinken, einige Anlagen ändern sich und kommen hinzu, u.a. Strom, Gas; Schwellenwerte ändern sich.
- IT: Die Schwellenwerte von Rechenzentren, Cloud (Serverfarmen) und IXP sinken deutlich, Domain-Registries (TLD) kommen als Anlage dazu.
- Finanzen und Versicherung: Die bisher mehrfach vorhandenen Anlagen pro Versicherungsträger werden vereinfacht, neue kommen im Wertpapierhandel hinzu.
- Transport: Für Logistiker sind Sendungen nun auch ein Schwellenwert, bei Häfen, Flughäfen und Fluggesellschaften kommen neue Anlagen in der Leitung hinzu, im Straßenverkehr das Intelligente Verkehrssystem. Einige Schwellenwerte werden angepasst.
- ÖPNV: Die Anlage Verkehrssteuerungs- und Leitsystem des ÖPNV wird gestrichen, übrig bleiben ÖSPV-Anlagen — die nach §4 Abs. 1-3 PBefG wohl auch U-Bahnen umfassen. Der Schwellenwert wurde redaktionell angepasst auf Fahrgastfahrten, bleibt sonst gleich.
- Gesundheit: Bei Laboren werden die Anlagen Transportsystem und Kommunikationssystem für Aufträge/Befunde im Laborinformationsverbund zusammengefasst.
- Entsorgung und UBI: Der neue KRITIS-Sektor Entsorgung fehlt noch im Entwurf, ebenso die Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI). Möglicherweise werden beide in einer weiteren oder separaten Änderungsverordnung definiert.
Ebenso konkretisiert die KritisV 1.5 Definitionen rund um Anlagen und ihrer IT in §1:
- IT: Die Anlagen umfassen bzw. beinhalten neben Betriebsstätten, Einrichtungen und Geräten explizit die Software und IT-Dienste,
die für die Erbringung notwendig sind.
- Anlagen: Mehrere Anlagen in einem betriebstechnischen Zusamenhang für dieselbe kritische Dienstleistung gelten als eine Anlage.
- Betreiber: Werden Anlagen von mehreren Betreibern betrieben, sind alle für die Erfüllung der KRITIS-Pflichten verantwortlich.
Die Fristen durch die KRITIS-Verordnung 2021 sind:
- Die 2021er Verordnung ist am 1. Januar 2022 in Kraft getreten
- Neue und alte Anlagen, die die (neuen) Schwellenwerte 2021 überschreiten, müssen spätestens zum 1. April 2022 registriert werden
- Umsetzung von Cyber Security Maßnahmen nach §8a BSIG zum 1. April 2022
- Nachweis der Umsetzung durch KRITIS-Prüfungen spätestens zum 1. April 2024
Angepasste Schwellenwerte
Einige Schwellenwerte bestehender Anlagen werden in der KRITIS-Verordnung 2021 (1.5) angepasst, ebenfalls kommen neue hinzu.
Sinkende Schwellenwerte ↓
| Sektor | Anlage | Alt | Neu |
|---|---|---|---|
| Energie | Erzeugungsanlage | 420 | 104/0/36 MW Leistung |
| Energie | Steuerung/Bündelung | 420 | 104/0/36 MW Leistung |
| Energie | Stromhandel | 200 TWh | 3700 GWh |
| IT | IXP | 300 | 100 angeschlossene AS |
| IT | Rechenzentren | 5 | 3,5 MW Leistung |
| IT | Serverfarmen | 25 | 10/15 Tsd. Instanzen |
Steigende Schwellenwerte ↑
Der Schwellenwert der Logistik-Anlagen steigt anscheinend auf 17,55 Mio. Tonnen Güter.
Neue Schwellenwerte ⚡
| Sektor | Bereich | Neu |
|---|---|---|
| Energie | Öl | 63,7 Tsd. t Flugkraftstoff |
| Transport | Logistik | 53,2 Mio. Sendungen |
Änderungen an Anlagen
Die KRITIS-Verordnung 2021 definiert eine Reihe neuer KRITIS-Anlagen bei KRITIS-Betreibern und streicht bzw. fasst zusammen. Die Änderung in 2023 ⚡ fügt zwei weitere Anlagen hinzu.
Neue Anlagen
| Sektor | Bereich | Neu |
|---|---|---|
| Energie | Gas | Zentrale Steuerung |
| Energie | Gas | Gasgrenzübergabestelle |
| Energie | Gas | Gashandel |
| Energie | Gas | ⚡ LNG-Anlage |
| Energie | Öl | Zentrale Steuerung (Förderung) |
| Energie | Öl | Kommerzielle Steuerung (Handel) |
| Energie | Fernwärme | Zentrale Steuerung |
| Gesundheit | Labore | Laborinformationsverbund |
| IT | Übertragung | ⚡ Seekabelanlandestation |
| IT | Steuerung | TLD-Registry |
| Transport | Flugverkehr | Flughafenleitungsorgan |
| Transport | Flugverkehr | Verkehrszentrale Fluggesellschaft |
| Transport | Schiffahrt | Hafenleitungsorgan |
| Transport | Schiffahrt | Hafenbetrieb |
| Transport | Schiffahrt | Umschlaganlage |
| Transport | Straßenverkehr | Intelligentes Verkehrssystem |
| Finanzen | Wertpapiere | Erzeugen von Aufträgen zum Handel |
| Finanzen | Wertpapiere | Handelsplatz |
| Finanzen | Wertpapiere | Sonst. Depotführung |
| Entsorgung | noch nicht definiert |
Wegfallende Anlagen ✗
| Sektor | Bereich | Fällt weg |
|---|---|---|
| Energie | Strom | Erzeugungsanlage mit Wärmeauskopplung Dez. Erzeugungsanlage Speicheranlage Messtelle |
| Gesundheit | Labordiagnostik | Transportsystem |
| Gesundheit | Labordiagnostik | Kommunikationssystem Auftrags-/Befundübermittlung |
| Transport | ÖPNV | Verkehrssteuerungs- und Leitsystem ÖPNV |
Neue Betreiber
Die neuen Schwellenwerte und Anlagendefinitionen haben Auswirkungen auf die Wirtschaft. Die Verordnung schätzt im Jahr 2023 insgesamt etwa 1.500 KRITIS-Anlagen, nachdem in 2021 von 252 zusätzlichen KRITIS-Betreibern zu knapp 1.600 bestehenden ausgegangen wurde.
Die 2021er-Schätzung:
- Energie: 131 Betreiber in der Stromerzeugung dazu, 12 bei Gas, 4 bei Mineralöl
- Gesundheit: keine Zahlen im Entwurf
- Transport: 6 neue Betreiber im Luftverkehr, 34 in der Schifffahrt, 34 im Straßenverkehr (Intelligentes Verkehrssystem), keine Änderungen im ÖPNV
- IT und TK: 3 neue IXPs, 7 neue RZ-Betreiber
- Finanz- und Versicherungen: 21 neue Betreiber im Handel
- Weitere Sektoren: keine Zahlen im Entwurf
- Siedlungsabfallentsorgung: keine Zahlen im Entwurf
- UBI: keine Zahlen im Entwurf
In 2023 werden elf zusätzliche Anlagen geschätzt, acht in Energie und drei in IT/TK.
Offene Themen
Einige Themen aus dem IT-Sicherheitsgesetz 2.0 werden noch in weiteren Verordnungen durch die KritisV 2.0 und dem NIS2UmsuCG definiert:
Der KRITIS-Sektor Siedlungsabfallentsorgung wird in einer neuen KRITIS-Verordnung 2.0 seit 2022 erarbeitet, mit Entwurf und Inkrafttreten wahrscheinlich in 2023. Aller Voraussicht nach, entfallen mit dem NIS2UmsuCG die Unternehmen im besonderen öffentlichen Interesse. Stattdessen werden sie in wichtige und teils auch besonders wichtige Einrichtungen integriert.
Sektor Entsorgung
Offen ist noch eine genaue Definition der kritischen Dienstleistung, KRITIS-Anlagen und Schwellenwerte des neuen Sektors KRITIS Siedlungsabfallentsorgung, wahrscheinlich in 2023.
Weitere Informationen
Literatur
- IT-Sicherheitsgesetz 2.0 auf OpenKRITIS
- IT-Sicherheitsgesetz: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht, Beck-Community, 27.4.2021
- Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022, heise online 08/2021
- Fragen und Antworten zur 2. Änderungsverordnung der BSI-Kritisverordnung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
Quellen
- Vierte Verordnung zur Änderung der BSI-Kritisverordnung vom 29. November 2023, BGBl. 2023 I Nr. 339 vom 06.12.2023
- Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 29. November 2023 (BGBl. 2023 I Nr. 339) geändert worden ist
- Zweite Verordnung zur Änderung der BSI-Kritisverordnung, Bundesministeriums des Innern, o.D. (Mirror IHK Braunschweig), 18.8.21
- Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
- Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 22.4.2021 (PDF: 26.4.2021)
- Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021