Kritische Infrastrukturen/Gesetzgebung

KRITIS-Gesetzgebung

Der Grundstein der KRITIS-Regulierung in Deutschland ist das BSI-Gesetz, das durch die IT-Sicherheitsgesetze 1.0 in 2015 und 2.0 in 2021 signifikant erweitert wurde. Das BSI-Gesetz reguliert die Sicherheit Kritischer Infrastrukturen (KRITIS) und legt Pflichten, Aufgaben und Befugnisse von Betreibern und Staat fest.

Seit 2021 ist das erweiterte IT-Sicherheitsgesetz 2.0 in Kraft, mehrere KRITIS-Verordnungen 2021 und 2023 erweitern Anlagen und Schwellenwerte. Die KRITIS-Regulierung besteht aus mehreren, miteinander verwobenen Gesetzen und Verordnungen, die Sicherheit in Kritischen Infrastrukturen erhöhen sollen.

KRITIS-Gesetze

IT-Sicherheitsgesetze

Der Kern der Gesetzgebung zu Kritischen Infrastrukturen ist das IT-Sicherheitsgesetz von 2015, das 2021 durch das neue IT-Sicherheitsgesetz 2.0 erweitert wurde. Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ändert als Artikelgesetz bestehende Gesetze (s.o.) zum Schutz Kritischer Infrastrukturen, vor allem das BSIG.

Gesetz	Jahr	Bedeutende Inhalte
IT-Sicherheitsgesetz	2015	Änderungsgesetz für BSIG und weitere Gesetze Umfangreiche KRITIS-Definitionen und Sektoren Pflichten für Betreiber in §8a BSIG, Nachweise, Prüfungen Anlagenmethodik und Schwellenwerte (KritisV)
IT-Sicherheitsgesetz 2.0	2021	Änderungsgesetz für BSIG und weitere Gesetze Mehr KRITIS-Betreiber, neuer Sektor Entsorgung, zusätzlich UBI Mehr Pflichten für Betreiber, u.a. Angriffserkennung in §8a (1a) BSIG Höhere Sanktionen
NIS2-Umsetzung	2024	Änderungsgesetz für BSIG und weitere Gesetze Neue Einrichtungen, mehr Sektoren, neue Gruppen Mehr Pflichten für Unternehmen, spezifisch Cybersecurity Viel höhere Sanktionen, engere Meldepflichten ans BSI
KRITIS-Dachgesetz	2024	Eigenes Gesetz KRITIS-Sektoren und Betreiber, mit Ausnahmen Neue Pflichten für Betreiber: Resilienz, physische Sicherheit Sanktionen, Meldepflichten ans BBK

Relevante Gesetze

Der Kern der Gesetzgebung zu Kritischen Infrastrukturen ist das IT-Sicherheitsgesetz, IT-SiG, von 2015, das Ende Mai 2021 durch das neue IT-Sicherheitsgesetz 2.0 erweitert wurde. Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ändert als Artikel- bzw. Änderungsgesetz bestehende Gesetze zum Schutz Kritischer Infrastrukturen:

Gesetz	Kurzform	KRITIS-Relevanz
BSI-Gesetz	BSIG	* Rechte und Pflichten des BSI gegenüber KRITIS-Betreibern Definitionen zu KRITIS wie Sektoren, Mindeststandards Anforderungen und Pflichten von KRITIS-Betreibern
Energiewirtschaftsgesetz	EnWG	* Meldewesen an das BSI Mindeststandards und Sicherheitsanforderungen Betreiber
Telekommunikationsgesetz	TKG	* Meldewesen an das BSI Mindeststandards und Sicherheitsanforderungen Anbieter
Atomgesetz	AtG	* Meldewesen an das BSI
Telemediengesetz	TMG	* Anforderungen und Pflichten von Diensteanbietern
BKA-Gesetz	BKAG	* Befugnisse in der Strafverfolgung
Weitere	BBesGBGebGEG	* diverses

BSI-Gesetz (BSIG)

Übersicht

Das wichtigste Gesetz in der KRITIS-Regulierung ist das BSI-Gesetz, das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, BSIG. Das BSIG legt die zentralen Pflichten und Aufgaben der Akteure in der KRITIS-Regulierung in Paragraphen § fest.

Paragraph	Inhalt
§2	(10) - Definition KRITIS und Sektoren(14) - Definition UBI
§8a	KRITIS-Sicherheitsvorgaben(1) - Angemessene Maßnahmen(1a) - Angriffserkennung(2) - Branchenstandards B3S(3) - KRITIS-Nachweisprüfungen(4) - Tiefenprüfungen(5) - Prüfungsvorgaben BSI
§8b	Zentrale Meldestelle(3) - Registrierung als Betreiber(4) - Meldepflicht(4a) - Störungsinformationen(5) - Gemeinsame Kontaktstellen
§8d	Anwendungsbereich KRITIS
§8e	Auskunftsersuchen
§8f	UBI
§9b	Kritische Komponenten
§10	Ermächtigung Rechtsverordnungen
§14	Verstöße und Sanktionen

KRITIS-Betreiber

§8a

legt die Anforderungen an KRITIS-Betreiber zur Sicherheit in ihren KRITIS-Anlagen fest und ist der zentrale Bezugspunkt für Sicherheitsmaßnahmen in der KRITIS-Gesetzgebung.

§8a (1)

fordert angemessene technische und organisatorische Sicherheitsmaßnahmen in KRITIS-Anlagen nach Stand der Technik, §8a (1a) zählt explizit Angriffserkennung dazu, §8a (2) beschreibt mögliche branchenspezifische Sicherheitsstandards (B3S), §8a (3) die Nachweisprüfungen bei Betreibern und Übermittlung von Informationen an das BSI.

§8b

definiert das BSI als zentrale Meldestelle für KRITIS-Betreiber.

§8b (3)

legt die unmittelbare Registrierung als KRITIS-Betreiber und Einrichtung einer Kontaktstelle für den Austausch mit dem BSI fest, §8b (3a) berechtigt das BSI zu Einsicht in Unterlagen. §8b (4) definiert die durch KRITIS-Betreiber meldepflichtigen Störungen, §8b (4a) die Übermittlung von Störungs-Informationen an das BSI. §8b (5) erlaubt Betreibern gemeinsame Kontaktstellen in Sektoren.

§8c

beschreibt Vorgaben für Anbieter digitaler Dienste im Sinne der NIS-Direktive der EU — mit Sicherheitsmaßnahmen, Meldepflichten und Austausch zwischen Behörden.

§8d

spezifiziert den genauen Anwendungsbereich der §§8a bis 8c durch Ausschlüsse von bereits regulierten Unternehmen und Kleinstunternehmen aus einzelnen Paragraphen.

§8e

regelt Auskunftsersuchen zu Informationen Kritischer Infrastrukturen und Betreibern.

§9b

regelt den Einsatz und Meldepflicht von kritischen Komponenten in KRITIS-Anlagen.

Unternehmen im besonderen öffentlichen Interesse

8f

definiert die Cyber Security Pflichten der Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) und deren Zulieferer.

KRITIS-Prüfungen

Die normativen Anforderungen für Prüfer ergeben sich ebenfalls aus §8a

§8a (3)

definiert die grundlegenden Pflichten, Zyklen und Anforderungen an Nachweise der Prüfungen

§8a (4)

beschreibt die Tiefenprüfungen, die das BSI oder von ihm beauftragte Dritte bei KRITIS-Betreibern durchführen darf, um die Anforderungen aus §8a (1) zu überprüfen.

§8a (5)

gibt dem BSI das Recht, für KRITIS-Prüfungen genauere Vorschriften und Anforderungen normativ festzulegen.

Das BSI und der Bund

§3

beschreibt die weitgehenden Aufgaben im öffentlichen Interesse des BSI, von der Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes bis zur Unterstützung und Beratung von KRITIS-Betreibern.

§4

legt das BSI als zentrale Meldestelle für Bundesbehörden, §4b als zentrale allgemeine Meldestelle für Sicherheit in der IT, §8b als zentrale Meldestelle für KRITIS-Betreiber für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.

§5 und §5a

legen die sehr umfangreichen Aufgaben, Pflichten und Rechte des BSI bei der Abwehr von Gefahren für die Kommunikationstechnik des Bundes und der Wiederherstellung der Sicherheit fest, mit §5c Einsicht in Bestandsdaten von TK-Diensten.

§7 und §7a

spezifieren die Aufgaben des BSI bei der Warnungen der Öffentlichkeit und betroffenen Kreise bei Sicherheitslücken, Schadprogrammen oder Datenverlust, und das Recht, IT-Produkte und Systeme auf dem Markt zu untersuchen.

§7a

definiert Untersuchungen durch das BSI von IT-Produkten und Systemen, §7b Portscans durch das BSI an den Schnittstellen öffentlich erreichbarer IT-Systeme, §7c Anordnungen des BSI zur Störungsbeseitigung, §7d Anordnungen zur Abwehr konkreter, erheblicher Gefahren an Telemedien-Anbieter.

§8

definiert die Aufgabe vom BSI zum Erarbeiten von Mindeststandards für die IT-Sicherheit des Bundes und von technischen Richtlinien. Das Innenministerium kann die Mindeststandards als Verwaltungsvorschriften für den Bund erlassen; das BSI kann Behörden bei der Umsetzung beraten. §9 legt das BSI als nationale Zertifizierungsstelle für IT-Sicherheit im Bund fest.

§10

regelt das Recht und den Umgang mit tieferen Definitionen in Rechtsverordnungen.

§13

definiert das Berichtswesen vom BSI an das Innenministerium über seine Tätigkeiten und den Austausch KRITIS-relevanter Informationen in der EU und mit der Kommission.

§14

definiert vorsätzliche oder fahrlässige Verstösse gegen die KRITIS-Vorgaben in §8a-c als Ordnungswidrigkeit und legt dafür Bußgelder zwischen 50 und 100 Tsd. EUR, im neuen IT-SiG 2.0 bis 20 Mio. EUR fest.

Betroffenheit

§2 (10)

definiert die Kritischen Infrastrukturen und aktuell gültigen KRITIS-Sektoren — und verweist dazu auf die KRITIS-Verordnung. §2 (14) definiert die drei Gruppen der Unternehmen im besonderen öffentlichen Interesse (UNBÖFI).

Definitionen

§1 und §2

definieren Begriffe von Informationstechnik bis Anbieter digitaler Dienste.

§3a, §6 bis §6f

betreffen personenbezogene Daten und das BSI.

§11

In §11 wird die Einschränkung des Fernmeldegeheimnisses (Artikel 10 Grundgesetz) beschrieben, durch wird das Fernmeldegeheimnis nun durch §4a, §5, §5a, §5b, §5c, §7b und §7 eingeschränkt — vormals nur §§5 und 5a.

KRITIS-Verordnung

BSI-KritisV

Die KRITIS-Verordnung, kurz KritisV, konkretisiert die Umsetzung des BSI-Gesetzes bei KRITIS-Betreibern und wurde nach dem IT-Sicherheitsgesetz verabschiedet. Sie wurde mit dem IT-Sicherheitsgesetz 2.0 zur KRITIS-Verordnung 2021 und dann 2023 überarbeitet.

KRITIS-Sektoren

Die KRITIS-Sektoren sind in §2 (10) BSIG definiert und werden durch die KritisV einzeln in §2 (Energie) bis §8 (Transport und Verkehr) beschrieben.

Kritische Dienstleistungen

Diese sind in §1 als Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren nach den §§ 2 bis 8, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde definiert. Die kritischen Dienstleistungen (kDL) sind pro Sektor in §§2-8 jeweils in Absatz (1) aufgezählt.

KRITIS-Anlagen

Anlagen sind die konkrete Ausgestaltung von Kritischen Infrastrukturen bei Unternehmen, die als Betreiber von KRITIS-Anlagen zu KRITIS-Betreiber werden.

Anlagen sind in §1 definiert als

a) Betriebsstätten und sonstige ortsfeste Einrichtungen, die für die Erbringung einer kritischen Dienstleistung notwendig sind.b) Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen, die für die Erbringung einer kritischen Dienstleistung notwendig sind.

Neu ist in 2021 §1 (c)

c) Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind,

Die einzelnen Sektoren in §§2-8 haben in der KritisV jeweils einen Anhang 1-7, in denen in Teil 1 die einzelnen Anlagen pro Sektor definiert und beschrieben werden.

Versorgungssicherheit

Für die Versorgungssicherheit der Bevölkerung nimmt die KRITIS-Verordnung prinzipiell eine Kenngröße von 500.000 versorgten Personen pro KRITIS-Anlage an.

Diese Kenngröße wird in der Verordnung für die KRITIS-Anlagen auf Anlagen-spezifische Leistungen für 500.000 versorgte Personen umgerechnet, um den kritischen Schwellenwert zu ermitteln, ab dem die Anlage kritisch ist.

Schwellenwerte

Die Schwellenwerte in der KRITIS-Verordnung definieren pro Anlage den Punkt, ab dem Anlagen bei Betreibern zur Kritischen Infrastruktur und KRITIS-Anlagen werden. Im Effekt sind die Schwellenwerte die für 500.000 Personen umgerechnete Leistung pro Anlage, basierend auf einem Durchschnittsverbauch pro Person.

Die Schwellenwerte werden in §1 definiert als

ein Wert, bei dessen Erreichen oder dessen Überschreitung der Versorgungsgrad einer Anlage oder Teilen davon als bedeutend im Sinne von § 10 Absatz 1 Satz 1 des BSI-Gesetzes anzusehen ist.

Die einzelnen Schwellenwerte der Anlagen werden pro Sektor in Anhang 1-7 jeweils in Teil 2 hergeleitet. In Teil 3 werden alle Schwellenwerte und Anlagen im Sektor aufgelistet.

Fristen

Die Fristen zum Überschreiten von Schwellenwerten als Kritische Infrastruktur sind ebenfalls pro Sektor in Anhang 1-7 jeweils in Teil 1 definiert.

KRITIS-Verordnung 2.0

KRITIS-Anlagen und Schwellenwerte ändern sich mit dem IT-Sicherheitsgesetz 2.0: ein separater KRITIS-Anlagen 2021 und 2023 Artikel analysiert die Änderungen 2021 und 2023.

Weitere Gesetze

Das IT-Sicherheitsgesetz ändert weitere Gesetze für bereits regulierte Betreiber:

Energiewirtschaftsgesetz (EnWG): Am EnWG wurden durch das IT-Sicherheitsgesetz 1.0 verschiedene Regelungen für Betreiber von Energieanlagen und Energieversorungsnetzen angepasst und Neuregelungen eingefügt, speziell in §11 EnWG.

Atomgesetz (ATG):Für Betreiber kerntechnischer Anlagen mit §44b ATG Regelungen zur Meldepflicht für Sicherheit in der IT an das BSI aufgenommen.

Telekommunikationsgesetz (TKG): Diverse Änderungen an §100, §109 und §109a TKG (alt) für Maßnahmen und Meldepflichten von Telekommunikationsanbietern an die BNetzA.

Das Telekommunikationsgesetz wurde im November 2021 umfangreich überarbeitet und regelt die Pflichten der Betreiber von Telekommunikationsinfrastruktur und -diensten. Dazu gehört unter anderem IT-Sicherheit in §165, §166 und §167 und §168 TKG.

Telemediengesetz (TMG): Anpassungen für Diensteanbieter zu Sicherheitsmaßnahmen §13.

Sonstiges: Es gab weiterhin Änderungen am Bundesbesoldungsgesetz zur Einordung des BSI-Präsidenten, am BKA-Gesetz für weitere Befugnisse in der Strafverfolgung und am Gesetz zur Strukturreform des Gebührenrechts des Bundes für BSI-Gebühren.

Weitere Informationen

Quellen

https://www.openkritis.de/it-sicherheitsgesetz/gesetzgebung-kritis-bsig.html
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
https://www.openkritis.de/it-sicherheitsgesetz/gesetzgebung-kritis-bsig.html