Die BSI-Kritisverordnung definiert über sog. Schwellenwerte, ab wann Anlagen und Einrichtungen verschiedener Sektoren als Kritische Infrastrukturen, kurz KRITIS, gelten. Um diese zu schützen, verpflichtet das BSI die KRITIS-Betreiber verschiedene Sicherheitsmaßnahmen zu implementieren. Dazu zählen z. B. die Benennung einer Kontaktstelle für IT-Störungen und Sicherheitsvorfälle und das Melden ebendieser.
Es wird ein Zuwachs von 252 Betreibern erwartet
Am 18. August 2021 hat das Bundeskabinett in seiner 153. Sitzung die „Zweite Verordnung zur Änderung der BSI-Kritisverordnung“ beschlossen. Darin werden Anpassungen und Ergänzungen an einigen der bisher definierten Schwellenwerte, an einzelnen Bemessungskriterien und Anlagekategorien sowie an dem Begriff „Anlage“ vorgenommen. So zählen im Sinne dieser Verordnung zu den Anlagen auch „Software und IT-Dienste“ (§ 1 Abs. 1 Nr. 1 lit. c BSI-KritisV). Die neue Verordnung tritt zum 1. Januar 2022 in Kraft und es wird ein Zuwachs von 252 KRITIS-Betreibern zu den ca. 1600 bestehenden Betreibern prognostiziert.
Noch ist die BSI-KritisV (Stand: Anfang September 2021) nicht überarbeitet; die neuen Schwellenwerte aus der „Zweiten Verordnung zur Änderung der BSI-Kritisverordnung“, auf die sich dieser Beitrag bezieht, können bspw. über die IHK Braunschweig eingesehen werden, die ein PDF der Verordnung des Bundesministeriums des Innern, für Bau und Heimat zum Download bereitgestellt hat.
Änderungen im Energiesektor
Durch die Anpassungen im Energiesektor wird mit 147 zusätzlichen KRITIS-Betreibern in diesem Bereich der größte Zuwachs erwartet. Dieser Zuwachs kommt u. a. durch den gesenkten allgemeinen Schwellenwert von 420 MW auf 104 MW Leistung für Erzeugungsanlagen zustande. Für Erzeugungsanlagen zur Erbringung von Primärregelleistung gibt es nun außerdem mit 36 MW einen eigenen Schwellenwert. Ein weiterer Schwellenwert wurde für sog. Schwarzstartanlagen eingeführt, welche bereits ab einer Nettoleistung von 0 MW als KRITIS-Anlagen gelten. Außerdem wird das abgewickelte Handelsvolumen im Stromhandel von 200 TWh/Jahr auf 3,7 TWh/Jahr herabgesetzt.
Im Bereich Gas, Öl und Fernwärme wurden die folgenden Anlagekategorien zusätzlich als KRITIS definiert:
Die Kategorie „Messstelle“ wurde aus der Verordnung gestrichen, da sie sich in der Umsetzung sowie in der Evaluierung der BSI-Kritisverordnung als nicht erforderlich herausgestellt hat.
Änderungen in der Informationstechnik und Telekommunikation
Im Sektor Informationstechnik und Telekommunikation sind die Schwellenwerte für IXPs und Rechenzentren deutlich gesunken. So fallen z. B. IXPs mit mehr als 100 angeschlossenen, autonomen Systemen, Rechenzentren mit einer Leistung über 3,5 MW und Serverfarmen mit mehr als 10 Tsd. physischen (oder 15 Tsd. virtuellen) Instanzen unter die BSI-KRITIS-Verordnung. Außerdem wird die Top-Level-Domain-Name-Registry als weitere Anlagekategorie aufgeführt. Hierbei handelt es sich um Anlagen, welche die Registrierung von Internet-Domain-Namen innerhalb einer spezifischen Top-Level-Domain (TLD) verwalten und betreiben. Der Schwellenwert liegt bei 250 Tsd. betriebenen oder verwalteten Domains.
Änderungen im Transportsektor
Für den Transportsektor werden sechs zusätzliche KRITIS-Betreiber im Luftverkehr, 34 in der Schifffahrt und 34 im Straßenverkehr erwartet. Dazu zählen u. a. Logistikzentren mit mehr als 53,2 Mio. Sendungen im Jahr. Eine weitere Änderung betrifft den öffentlichen Personennahverkehr (kurz ÖPNV) für welchen ein Schwellenwert von 125 Mio. unternehmensbezogenen Fahrgastfahrten im Jahr definiert wird.
Ergänzt wurden außerdem die folgenden Anlagen:
Änderungen in den Sektoren Finanzen und Gesundheit
Im Finanz- und Versicherungswesen wurden das Erzeugen von Aufträgen zum Handel, der Handelsplatz selbst sowie Depotführungssysteme als neue Anlagen definiert. Außerdem wurde aufgrund ihrer besonderen Bedeutung im Bereich der Laboratoriumsdiagnostik die Anlagenkategorie „Laborinformationsverbund“ neu aufgenommen.
Fazit
Durch die Änderungsverordnung werden insgesamt ca. 252 zusätzliche Betreiber zu Kritischen Infrastrukturen.
Kritisiert wird an der neuen Verordnung, dass an dem Regelschwellenwert von 500.000 versorgten Personen trotz fehlender Transparenz in dessen Ausarbeitung weiterhin festgehalten wird. Außerdem enthält die neue Fassung keine Erweiterungen oder Anpassungen zu den neuen Sektoren „Siedlungsabfallentsorgung“ oder „Unternehmen im besonderen öffentlichen Interesse“.
Sie möchten mehr über das Thema KRITIS erfahren? In der aktuellen Printausgabe der Fachzeitschrift Datenschutz und Datensicherheit (DuD) finden Sie gleich zwei Artikel zu diesem Thema: Zum einen hat sich Fabian Mangels, Berater Informationssicherheit bei der datenschutz nord GmbH, ausführlich mit „KRITIS zu Zeiten einer Pandemie“ beschäftigt. Zum anderen berichtet Christopher Stradomsky in seinem Beitrag „KRITIS – Der Weg zum Audit“ aus dem Leben eines Auditors. Er ist als Informationssicherheitsexperte für die datenschutz cert GmbH tätig.