KRITIS: Sektoren, Anlagen und Schwellenwerte

10. Dezember 2021

Was sind kritische Infrastrukturen und wie anfällig sind sie für Störungen oder Angriffe auf die IT-Systeme, mit denen sie gesteuert werden? Welche Gesetze und Regelungen gibt es, die unsere Gesellschaft und die öffentliche Sicherheit vor kritischen Ausfällen schützen sollen? Vinzent Ratermann, Experte für die IT-Sicherheit kritischer Infrastrukturen und KRITIS-Auditor, beantwortet in unserer Blogserie diese und weitere Fragen.

Nach einer allgemeinen Einführung in KRITIS in Teil 1 und der gesetzlichen Grundlage in Teil 2 dieser Blogserie gehen wir in diesem Teil auf Sektoren, Anlagen und Schwellenwerte ein, die durch die KRITIS-Verordnung definiert sind.

  1. Sektoren
  2. Anlagen
  3. Schwellenwerte
  4. Identifikationspflicht
  5. Sanktionen
  6. Neuerungen im IT-SiG2

Sektoren

Zehn Sektoren mit Betreibern, die kritische Dienstleistungen für die Allgemeinheit erbringen, sind in Deutschland durch die KRITIS-Verordnung definiert. Betreiben Unternehmen dieser zehn Sektoren Anlagen, die bestimmte Schwellenwerte übersteigen, sind die gesetzlichen Verpflichtungen der IT-Sicherheitsgesetze anzuwenden.  

Mit dem neuen IT-Sicherheitsgesetz (IT-SiG2), wurde der Sektor Entsorgung ergänzt. Zusätzlich werden nun Sicherheitsanforderungen an Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) gestellt. Welche Unternehmen dies im Detail betrifft, ist noch nicht in allen Aspekten ausgestaltet.

KRITIS-Sektoren
KRITIS-Sektoren

Anlagen

Für jeden der KRITIS-Sektoren sind in der KRITIS-Verordnung konkrete Anlagentypen definiert. Beispielhaft haben wir hier einige Anlagentypen pro Sektor aufgeführt:

  • Energie: z.B. Stromversorgung, Gasversorgung, Kraftstoff- und Heizölversorgung
  • Wasser: z.B. Abwasserbeseitigung, Trinkwasserversorgung
  • Ernährung: z.B. Lebensmittelversorgung
  • Gesundheit: z.B. Stationäre medizinische Versorgung, Versorgung mit lebenserhaltenden Medizinprodukten, Versorgung mit Arzneien und Blut/Plasma
  • Transport und Verkehr: z.B. Personen- und Güterverkehr
  • Informationstechnik und Telekommunikation: Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung
  • Finanz- und Versicherungswesen: z.B. Bargeldversorgung, kartengestützter Zahlungsverkehr, konventioneller Zahlungsverkehr
  • Entsorgung: Entsorgung von Siedlungsabfällen
  • Medien und Kultur: fällt nicht unter das IT-SiG
  • Staat und Verwaltung: fällt nicht unter das IT-SiG
  • Unternehmen im besonderen öffentlichen Interesse: Hersteller von Rüstung und IT-Produkten für staatliche Versorgung, Unternehmen mit besonderer volkswirtschaftlicher Bedeutung und deren Zulieferer, Betreiber von Betriebsbereichen der oberen Klasse (Gefahrstoffe)

Quelle: https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html

Schwellenwerte

In der KRITIS-Verordnung sind für jeden Anlagentyp spezifische Schwellenwerte festgelegt. Überschreitet eine Anlage den ihr zugeordneten Schwellenwert, gilt sie als Kritische Infrastruktur. Unternehmen, die solche Anlagen betreiben, sind KRITIS-Betreiber und verpflichtet, entsprechende Cyber-Security-Maßnahmen umzusetzen und dies durch ein unabhängiges KRITIS-Audit nachzuweisen.

Die Schwellwerte sind so angelegt, dass eine Anlage, die mindestens 500.000 Menschen mit der kritischen Dienstleistung versorgt, als kritische Infrastruktur angesehen wird. Dazu wird für jede Anlagenart der geschätzte, mittlere Jahresbedarf pro Kopf berechnet und anschließend mit dem Faktor 500.000 multipliziert.  

SektorAnlagentyp Pro Kopf / RechnungSchwellenwert
EnergieStromerzeugungsanlageUnter Annahme eines Durchschnittsverbrauchs von 7.375 kWh pro versorgter Person pro Jahr ergibt sich folgender Wert:  
7.375 kWh/Jahr x 500.000
≈ 3.700 GWh/Jahr   
3.700 GWh/Jahr
8760 h/Jahr ≈ 420 MW

Die Werte dieser Tabelle sind der aktuell gültigen KRITIS-Verordnung entnommen (Stand Dezember 2021);
Quelle: https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html

Alle weiteren Berechnungen und Schwellwerte können in der aktuellen KRITIS-Verordnung eingesehen werden. In der KRITIS-Verordnung für das IT-SiG2 sind diese aktualisiert und zum Teil erheblich verringert worden. Derzeit ist die neue KRITIS-Verordnung noch nicht öffentlich einsehbar – den Link hierzu werden wir Ihnen an dieser Stelle nachliefern, sobald die neue Verordnung veröffentlicht wurde. Sie wird voraussichtlich am 1.1.2022 in Kraft treten.

Identifikationspflicht

Anhand der Liste KRITIS-relevanter Anlagen und ihrer jeweiligen Schwellenwerte, die in der KRITIS-Verordnung für alle Sektoren definiert sind, müssen die Betreiber der Anlagen ihre eigene KRITIS-Betroffenheit evaluieren. Erbringen sie mit ihren Anlagen kritische Dienstleistungen und übertreffen die Schwellenwerte, müssen sie sich eigenverantwortlich beim BSI als Kritische Infrastruktur registrieren. Es gibt fünf Kriterien, die erfüllt sein müssen, damit ein Anlagenbetreiber KRITIS- und registrierungspflichtig ist:

  1. Sektor und Dienstleistung: sind KRITIS-relevant
  2. Geografie: Wertschöpfung findet in Deutschland statt
  3. Anlagentyp: ist KRITIS-relevant
  4. Schwellenwerte: werden überschritten
  5. Zeitraum: pro Kalenderjahr bzw. Stichtag werden Schwellenwerte überschritten

Sanktionen

Verstöße gegen Pflichten oder Anforderungen aus der KRITIS-Verordnung werden als Ordnungswidrigkeiten geahndet – Betreibern Kritischer Infrastrukturen drohen hier Sanktionen in Form von Bußgeldern. Zu den durch das IT-SiG2 definierten Verstößen zählen beispielsweise:

  • Fehlende, inkorrekte oder nicht rechtzeitig erbrachte KRITIS-Nachweise
  • Fehlende oder verspätete Meldung von Störungen oder unzureichende Mitwirkung bei der Beseitigung von Störungen
  • Fehlende oder inkorrekte Umsetzung von Cyber-Security-Maßnahmen,
  • Fehlende Registrierung als Kritische Infrastruktur
  • Verweigerung von Auskünften und Informationen für Prüfungen durch das BSI

Auch das Auftreten und Gebaren als KRITIS-Auditierungsstelle ohne entsprechende Eignung und Genehmigung wird mit einem Bußgeld geahndet.

Neuerungen im IT-SiG2

Die der KRITIS-Verordnung 2.0 wurde mit dem IT-Sicherheitsgesetz 2.0 geändert und tritt ab 1. Januar 2022 in Kraft. Neben den beiden neu hinzugekommenen Sektoren Entsorgung und UNBÖFI wurde auch die Liste der KRITIS-relevanten Anlagen pro Sektor überarbeitet und um insgesamt 17 Anlagentypen erweitert. Die Schwellenwerte pro Anlage wurden insgesamt herabgesetzt, sodass bereits kleinere Unternehmen mit einem geringeren Leistungsvolumen KRITIS-pflichtig werden. Insbesondere in zwei Bereichen ist die Verringerung dieser Schwellenwerte signifikant ausgefallen: bei der Stromerzeugung (von 420 MW auf 36 MW Leistung) und dem IT-Hosting (von 5 MW auf 3,5 MW vertraglich vereinbarter Leistung im Rechenzentrum). Betreiber kritischer Anlagen müssen diese selbst beim BSI registrieren – mit dem IT-SiG2 wurden die Kompetenzen des BSI aber so ausgebaut, dass es auch eigenständig auf die Betreiber mutmaßlicher Kritischer Infrastrukturen zugehen und eine Evaluation verlangen kann. Die Sanktionen für Nichteinhaltung von Vorgaben der KRITIS-Verordnung, wie das Versäumnis, eine Kritische Anlage beim BSI zu registrieren oder geeignete Cyber-Security-Maßnahmen umzusetzen, sind deutlich angehoben worden.


Sie wollen mehr erfahren?

Unser Experte Vinzent Ratermann ist in seinem Webinar KRITIS - Technischer Schutz kritischer Infrastrukturen detailliert auf Ihre Fragen zu KRITIS eingegangen. Schauen Sie sich die Aufzeichnung auf unserem YouTube-Channel an.

Wenn Sie Unterstützung oder Beratung zu Ihrem KRITIS-Audit benötigen, schauen Sie sich auf unseren Webseiten um, oder kontaktieren Sie uns. Wir helfen Ihnen gerne.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien