Kritische Infrastrukturen
Kritische Infrastrukturen (KRITIS) sind Anlagen und Systeme in versorgungsrelevanten Sektoren, deren Ausfall erhebliche Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit auslösen würde und die deshalb besonderen Sicherheitsanforderungen unterliegen.
Als Kritische Infrastrukturen (KRITIS) gelten Einrichtungen, Anlagen und Systeme in den vom Gesetzgeber definierten Sektoren, deren Beeinträchtigung oder Ausfall zu nachhaltigen Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen für das Gemeinwesen führen würde. Das BSI-Gesetz (BSIG) in Verbindung mit der BSI-Kritisverordnung (BSI-KritisV) legt fest, welche Sektoren erfasst sind und ab welchen Schwellenwerten eine Anlage als kritisch einzustufen ist. Klassisch zählen dazu die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr sowie Siedlungsabfallentsorgung; mit der Umsetzung der NIS2-Richtlinie und des KRITIS-Dachgesetzes wird der Kreis betroffener Sektoren und Einrichtungen deutlich erweitert.
Betreiber Kritischer Infrastrukturen treffen besondere Pflichten: Sie müssen angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik treffen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme zu gewährleisten (§ 8a BSIG). Die Einhaltung ist dem BSI gegenüber regelmäßig, mindestens alle zwei Jahre, durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen. Hinzu kommt eine Meldepflicht für erhebliche Störungen und Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik sowie die Pflicht, eine Kontaktstelle für die Kommunikation mit dem BSI zu benennen. Branchenverbände können branchenspezifische Sicherheitsstandards (B3S) entwickeln, die das BSI als geeignet anerkennen kann.
Mit der NIS2-Richtlinie und ihrer nationalen Umsetzung verschiebt sich der Rahmen von der reinen KRITIS-Logik hin zu einem breiteren Konzept aus besonders wichtigen und wichtigen Einrichtungen. Viele Organisationen, die bislang nicht als KRITIS galten, fallen künftig unter vergleichbare Pflichten zum Risikomanagement, zur Vorfallbehandlung, zur Lieferkettensicherheit und zur Geschäftsleitungsverantwortung. Für Betreiber bedeutet dies, frühzeitig eine Betroffenheitsprüfung durchzuführen, ein systematisches Informationssicherheits-Managementsystem aufzubauen und die geforderten Nachweise prüffähig zu dokumentieren. Ein strukturiertes Vorgehen entlang etablierter Rahmenwerke wie ISO/IEC 27001, dem IT-Grundschutz oder CISIS12 schafft die Grundlage, um die besonderen Sicherheitsanforderungen dauerhaft und nachvollziehbar zu erfüllen.
Rechtliche Grundlage
§ 8a, § 8b BSIG; BSI-Kritisverordnung (BSI-KritisV); NIS2-Richtlinie (EU) 2022/2555
Praxisbeispiel
Ein regionaler Wasserversorger überschreitet mit der versorgten Einwohnerzahl den Schwellenwert der BSI-KritisV und gilt damit als Betreiber einer Kritischen Infrastruktur. Der Informationssicherheitsbeauftragte führt zunächst eine Asset- und Schutzbedarfsfeststellung für die Leit- und Steuerungstechnik durch, leitet daraus angemessene Schutzmaßnahmen nach dem Stand der Technik ab und orientiert sich am branchenspezifischen Sicherheitsstandard (B3S) der Wasserwirtschaft. Anschließend richtet er die Kontaktstelle zum BSI ein, etabliert einen Meldeprozess für erhebliche Störungen und plant das alle zwei Jahre fällige Nachweisaudit, dessen Ergebnis er dem BSI prüffähig vorlegt.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren