(50 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1:
Zeile 1:
= TMP =
'''Kritische Infrastrukturen''' - [[Infrastruktur]]en mit wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen
Dieser Artikel behandelt den Begriff. Zur Arbeitsgruppe von Fachleuten siehe [[AG KRITIS]] oder [[UP KRITIS]].
'''Kritische Infrastrukturen''' sind [[Anlage (Technik)|Anlagen]], [[System]]e oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der [[Gesundheit]], der [[Sicherheit]] und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten.<ref name="RICHTLINIE-2008-114-EG">{{EU-Richtlinie|2008|114|titel=des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern|abruf=2017-04-30}}</ref>
== Beschreibung ==
[[File:bsiWebisteKritis01.png|mini|400px|[https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/kritis_node.html Kritis-Seite beim BSI]]]
; Was sind Kritische Infrastrukturen?
* [[Anlage (Technik)|Anlagen]]
* [[System]]e
* oder Teile davon
; Störungen mit erheblichen Auswirkungen
Wirtschaftliches/soziales Wohlergehen der Bevölkerung
* [[Gesundheit]]
* [[Sicherheit]]
== Allgemeines ==
== Allgemeines ==
[[Infrastruktur]]en sind jedermann zugängliche staatliche oder private [[Anlage (Technik)|Anlagen]] oder [[Öffentliche Einrichtung|Einrichtungen]], die in einem festgelegten organisatorischen und/oder geografischen Bereich [[Dienstleistung]]en zur Verfügung stellen.<ref>[https://books.google.de/books?id=p7EoxuiUz8EC&pg=PA135&dq=kritische+infrastruktur&hl=de&sa=X&ved=0ahUKEwjq6Oa82aHpAhXD26QKHW16AJ8Q6AEINDAC#v=onepage&q=kritische%20infrastruktur&f=false Tillmann Schulze, ''Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA'', 2006, S. 24 FN 14]</ref> Dazu gehören auch die ablaufenden [[Prozess]]e, die eingesetzte [[Informationstechnik]] sowie die tätigen [[Arbeitskraft|Arbeitskräfte]]. Kritische Infrastrukturen sind dementsprechend „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche [[Gemeinwesen]], bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende [[Versorgungskrise|Versorgungsengpässe]], erhebliche Störungen der [[Öffentliche Sicherheit|öffentlichen Sicherheit]] oder andere dramatische Folgen eintreten würden.“<ref>[[Bundesministerium des Innern, für Bau und Heimat]] (BMI), ''KRITIS-Strategie'', 2009, S. 5</ref> „Kritisch“ bezieht sich auf die [[Systemrelevanz]] der Infrastrukturen, also auf die für das Gesamtsystem und die [[Daseinsvorsorge]] besonders bedeutsamen Einrichtungen.<ref>[https://books.google.de/books?id=jdE0DQAAQBAJ&pg=PA186&dq=Kritische+Infrastrukturen+Systemrelevanz&hl=de&sa=X&ved=0ahUKEwjQ4vb2qoPqAhXOmIsKHVEUDVYQ6AEIJzAA#v=onepage&q=Kritische%20Infrastrukturen%20Systemrelevanz&f=false Harald Karutz/Wolfram Geier/Thomas Mitschke, ''Bevölkerungsschutz'', 2017, S. 186]</ref>
; Definition KRITIS
:<dfn>Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.</dfn>
[[Infrastruktur]]en sind jedermann zugängliche staatliche oder private [[Anlage (Technik)|Anlagen]] oder [[Öffentliche Einrichtung|Einrichtungen]], die in einem festgelegten organisatorischen und/oder geografischen Bereich [[Dienstleistung]]en zur Verfügung stellen
Dazu gehören auch die ablaufenden [[Prozess]]e, die eingesetzte [[Informationstechnik]] sowie die tätigen [[Arbeitskraft|Arbeitskräfte]]
* Kritische Infrastrukturen sind dementsprechend „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche [[Gemeinwesen]], bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende [[Versorgungskrise|Versorgungsengpässe]], erhebliche Störungen der [[Öffentliche Sicherheit|öffentlichen Sicherheit]] oder andere dramatische Folgen eintreten würden.“
* „Kritisch“ bezieht sich auf die [[Systemrelevanz]] der Infrastrukturen, also auf die für das Gesamtsystem und die [[Daseinsvorsorge]] besonders bedeutsamen Einrichtungen
Es bedarf auch des Schutzes Kritischer [[Informationsinfrastruktur]]en ({{enS|Critical Information Infrastructure Protection}}, CIIP). „Kritisch“ meint hierbei nicht, dass die [[Eintrittswahrscheinlichkeit]] von Störungen hoch ist
* Es ist vielmehr so zu verstehen, dass Störungen oder Ausfälle weitreichende Folgen bis hin zu katastrophalen Auswirkungen für Staat, Wirtschaft und/oder große Teile der Bevölkerung haben können
== Sektoren ==
; Sektoren Kritischer Infrastrukturen
[[File:kritis-sektorkreis.png|mini|300px]]
# Energie
# Informationstechnik und Telekommunikation
# Transport und Verkehr
# Gesundheit
# Medien und Kultur
# Wasser
# Ernährung
# Finanz- und Versicherungswesen
# Siedlungsabfallentsorgung
# Staat und Verwaltung
Es bedarf auch des Schutzes Kritischer [[Informationsinfrastruktur]]en ({{enS|Critical Information Infrastructure Protection}}, CIIP). „Kritisch“ meint hierbei nicht, dass die [[Eintrittswahrscheinlichkeit]] von Störungen hoch ist. Es ist vielmehr so zu verstehen, dass Störungen oder Ausfälle weitreichende Folgen bis hin zu katastrophalen Auswirkungen für Staat, Wirtschaft und/oder große Teile der Bevölkerung haben können.<ref>Tillmann Schulze, ''Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA'', 2006, S. 112</ref>
Alle Organisationen aus diesen Sektoren zählen unabhängig von ihrer Größe zu den Kritischen Infrastrukturen (KRITIS)
* Die Sektoren Staat und Verwaltung sowie Medien und Kultur unterliegen jedoch nicht der Regulierung durch das [[BSIG]]
== Geschichte ==
; Durch das <abbr>BSIG</abbr> regulierte <abbr>KRITIS</abbr>-Sektoren
Das Bewusstsein über die Konzentration auf Kritische Infrastrukturen entstand erst im Juli 1996 in den [[USA]], als dort politische Entscheidungen getroffen und Maßnahmen ergriffen wurden, die auf deren Schutz abzielten.<ref>Tillmann Schulze, ''Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA'', 2006, S. 25</ref> Nach dem [[Bombenanschlag auf das Murrah Federal Building in Oklahoma City]] im April 1995 schlug [[Janet Reno]], [[United States Attorney General|Attorney General]] unter Präsident [[Bill Clinton]], eine Kommission vor, die sich mit der Verwundbarkeit der USA durch Angriffe auf unverzichtbare Einrichtungen befassen sollte. Das Gremium hieß offiziell „Presidential Commission on Critical Infrastructure Protection (PCCIP)“<ref>[https://books.google.de/books?id=2e0kBgAAQBAJ&pg=PA157&dq=kritische+infrastrukturen+pccip+1995&hl=de&sa=X&ved=0ahUKEwjio6r67aHpAhXOyaQKHTZzC3QQ6AEIKTAA#v=onepage&q=kritische%20infrastrukturen%20pccip%201995&f=false Markus Schumacher/Utz Roedig/Marie-Luise Moschgath, ''Hacker Contest: Sicherheitsprobleme, Lösungen, Beispiele'', 2003, S. 157]</ref> und machte im Oktober 1997 darauf aufmerksam, dass das Hauptaugenmerk auf das [[Internet]] zu legen sei, weil [[Hacker (Computersicherheit)|Hacker]] Kritische Infrastrukturen hierüber lahmlegen könnten. Als Kritische Infrastrukturen identifizierte die Kommission die [[Wirtschaftszweig]]e:
Gemäß § 2 Absatz 10 <abbr>BSIG</abbr> sind Kritische Infrastrukturen im Sinne dieses Gesetzes Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 <abbr>BSIG</abbr> (<abbr>BSI</abbr>-Kritisverordnung) näher bestimmt:
* [[Information]] und [[Kommunikation]],
* [[Finanzwesen]],
* [[Wasserversorgung|Wasser-]],
* [[Elektrizitätsversorgung|Elektrizitäts-]],
* [[Gasversorgung|Gas-]] und [[Erdöl|Ölversorgung]],
* [[Verkehrswesen|Verkehrs-]] und [[Transportwesen]],
* [[Notfall]]dienste und [[Bundesregierung (Vereinigte Staaten)#US-Administration|US-Administration]].
Weitere Fortschritte gab es erst aus Anlass besonderer Katastrophen. So sorgten die [[Terroranschläge am 11. September 2001]] unter anderem mit dem Begriff {{lang|en|''Disaster Preparedness''|de=Katastrophen-vorbereitetheit}} dafür, dass die US-Regierung [[Mittel (Buchhaltung)|Mittel]], [[Personal]], [[Kompetenz (Organisation)|Kompetenzen]] und [[Aufgabe (Pflicht)|Aufgaben]] für den [[Katastrophenschutz]] sowie die [[Flughafensicherheit|Flughafen-]] und [[Luftsicherheit]] verstärkte. Ein [[Computervirus]] ließ im August 2003 in 23 [[Bundesstaat der Vereinigten Staaten|Bundesstaaten]] für Stunden sämtliche Eisenbahnsignal ausfallen, wodurch Züge bis zu 6 Stunden Verspätung hatten oder ganz ausfielen. Im selben Monat löste ein Blitzschlag an der Ostküste einen großflächigen [[Stromausfall]] aus, als Stromleitungen nicht mehr funktionierten, was zur Überlastung von Kraftwerken führte, die sich automatisch abschalteten.<ref>Tillmann Schulze, ''Bedingt abwehrbereit: Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA'', 2006, S. 136.</ref>
== Arten ==
== Arten ==
Kritische Infrastrukturen setzen sich zusammen aus technischen Basisinfrastrukturen und sozioökonomischen Infrastrukturen:<ref>[https://books.google.de/books?id=ri3CDgAAQBAJ&pg=PA14&dq=Schl%C3%BCsselindustrien+systemrelevanz&hl=de&sa=X&ved=0ahUKEwiYy7zSvJ3pAhVGsKQKHU1PChMQ6AEIJzAA#v=onepage&q=Schl%C3%BCsselindustrien%20systemrelevanz&f=false Bernd Buthe, ''Integration raumordnerischer Belange in die Verkehrsplanung'', 2017, S. 14 f.]</ref>
Kritische Infrastrukturen setzen sich zusammen aus technischen Basisinfrastrukturen und sozioökonomischen Infrastrukturen
; ''Technische Basisinfrastrukturen'' gewährleisten die
* Energieversorgung,
* Energieversorgung
* Trinkwasserversorgung sowie Abwasserentsorgung und
* Trinkwasserversorgung sowie Abwasserentsorgung und
* ermöglichen Informationsaustausch, Kommunikation sowie
* ermöglichen Informationsaustausch, Kommunikation sowie
* Transport und Verkehr bis hin zu
* Transport und Verkehr bis hin zu
* [[Absatzkette|Absatz-]] und [[Lieferkette]]n.
* [[Absatzkette|Absatz-]] und [[Lieferkette]]n
''Sozioökonomische Infrastrukturen'' betreffen:
* die [[Nahrungsmittel]]versorgung,
; ''Sozioökonomische Infrastrukturen'' betreffen
* das [[Finanzwesen]],
* die [[Nahrungsmittel]]versorgung
* das [[Finanzwesen]]
* [[Rettungsdienst]]e sowie die
* [[Rettungsdienst]]e sowie die
* Versorgung mit [[Massenmedien]] und [[Kultur]].
* Versorgung mit [[Massenmedien]] und [[Kultur]]
Teilweise sind sie interdependent wie beispielsweise Transport und Nahrungsmittelversorgung (Lieferketten).<ref>Bernd Buthe, ''Integration raumordnerischer Belange in die Verkehrsplanung'', 2017, S. 15.</ref>
Teilweise sind sie interdependent wie beispielsweise Transport und Nahrungsmittelversorgung (Lieferketten)
== Rechtsfragen ==
== Rechtsfragen ==
Im Sinne der {{EU-Richtlinie|2008|114|titel=des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer Kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern}} ist eine Kritische Infrastruktur eine [[Anlage (Technik)|Anlage]], ein [[System]] oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der [[Gesundheit]], der [[Sicherheit]] und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten.
Im Sinne der EU-Richtlinie des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer Kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, ist eine Kritische Infrastruktur eine [[Anlage (Technik)|Anlage]], ein [[System]] oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der [[Gesundheit]], der [[Sicherheit]] und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten
Die [[CER-Richtlinie (EU 2022/2557)]] reguliert die Resilienz bei Kritischen Infrastrukturen in der EU durch Maßnahmen in Unternehmen und staatliche Aufsicht.<ref>{{Internetquelle |url=https://www.openkritis.de/eu/eu-rce-direktive-kritis.html |titel=EU RCE Resilienz (CER) |werk=openkritis.de |abruf=2024-03-11 |sprache=de}}</ref> Die [[NIS-2-Richtlinie]] weitet Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen aus.<ref>{{Internetquelle |url=https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2023/01/eu-richtlinien-kritis.html |titel=EU-Richtlinien zum Schutz Kritischer Infrastrukturen |werk=bmi.bund.de |hrsg=Bundesministerium des Innern und für Heimat |datum=2023-01-18 |abruf=2024-03-11 |sprache=de}}</ref>
Die [[CER-Richtlinie (EU 2022/2557)]] reguliert die Resilienz bei Kritischen Infrastrukturen in der EU durch Maßnahmen in Unternehmen und staatliche Aufsicht
=== Situation in Deutschland ===
; Die [[NIS-2-Richtlinie]] weitet Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen aus
In Deutschland erscheinen Kritische Infrastrukturen als [[Rechtsbegriff]] erstmals im Dezember 2008 im [[Raumordnungsgesetz (Deutschland)|Raumordnungsgesetz]] (ROG). Danach ist es einer der Grundsätze der [[Raumordnung]], dass nach {{§|2|rog_2008|juris}} Abs. 2 Nr. 3 ROG dem Schutz Kritischer Infrastrukturen Rechnung zu tragen ist. In den Bereich des Schutzes Kritischer Infrastrukturen fällt auch die Versorgung von [[Schlüsselindustrie]]n, deren Beeinträchtigung unmittelbar schwerwiegende Störungen der [[Versorgungskrise|Versorgungslage]] nach sich ziehen würde.<ref>{{Internetquelle |url=https://bmdv.bund.de/SharedDocs/DE/Publikationen/DG/sicherheitsstrategie.pdf?__blob=publicationFile |titel=Sicherheitsstrategie für die Güter- verkehrs- und Logistikwirtschaft |hrsg=[[Bundesministerium für Verkehr und digitale Infrastruktur]] |datum=2014-10 |seiten=4 |sprache=de |abruf=2023-02-09}}</ref> Dabei gilt als Maß für die Bedeutung einer Infrastruktur im Hinblick auf ihre Systemfunktionalität die „Kritikalität von Infrastrukturen“.<ref>{{Internetquelle |url=https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritis.pdf?__blob=publicationFile&v=3 |titel=Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) |hrsg=Bundesministerium des Innern |datum=2009-06-17 |seiten=9 |sprache=de |abruf=2023-02-09}}</ref> Kritische Infrastrukturen im Sinne des {{§|2|bsig_2009|juris}} Abs. 10 [[BSI-Gesetz]] sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die [[Betreiber]] Kritischer Infrastrukturen sind gemäß {{§|8a|bsig_2009|juris}} Abs. 1 BSI-Gesetz verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Das Bundesministerium des Innern bestimmte gemäß {{§|10|bsig_2009|juris}} Abs. 1 BSI-Gesetz durch Rechtsverordnung näher, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Diese Rechtsverordnung ist die BSI-KritisV (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, BSI-Kritisverordnung), die folgende sieben Sektoren als Kritische Infrastrukturen identifiziert:
Welche Einrichtungen, Anlagen oder Teile davon wegen ihrer Bedeutung für die Versorgung der Bevölkerung und damit für das Funktionieren des Gemeinwesens als Kritische Infrastrukturen im Sinne des <abbr>BSIG</abbr> gelten, wird durch die <abbr>BSI</abbr>-Kritisverordnung definiert. Ob ein bedeutender Versorgungsgrad vorliegt, ist vom Erreichen oder Überschreiten von in der <abbr>BSI</abbr>-Kritisverordnung aufgeführten Schwellenwerten abhängig. Werden diese Schwellenwerte erreicht oder überschritten, gelten für <abbr>KRITIS</abbr>-Betreiber die gesetzlichen Melde- und Nachweispflichten des <abbr>BSIG</abbr>.
Zusätzlich rechnet das [[Bundesamt für Bevölkerungsschutz und Katastrophenhilfe]] folgende Kritische Infrastrukturen hinzu:<ref>[https://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/Sektoren/SektorenBBK.html Definition „Kritische Infrastrukturen“ (Sektoren- und Brancheneinteilung) nach dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe], aufgerufen am 20. April 2020</ref>
* [[Staat]] und [[Verwaltung]]: [[Regierung]] und Verwaltung, [[Parlament]], [[Justiz]]einrichtungen, [[Notfall]]-/[[Rettungswesen]] einschließlich [[Katastrophenschutz]] sowie
* [[Massenmedien|Medien]] und [[Kultur]]: [[Rundfunk]] ([[Fernsehen]] und [[Radio]]), gedruckte und elektronische [[Presse (Medien)|Presse]], [[Kulturgut]] und symbolträchtige [[Bauwerk]]e.
Die beiden letzten Sektoren sind nicht Bestandteil der BSI-KritisV.
Mit dem im Mai 2021 verabschiedeten IT-Sicherheitsgesetz 2.0 und den damit verbundenen Änderungen des BSI-Gesetzes tritt ein weiterer Kritis-Sektor hinzu:
'''A''uch wenn Ihre Anlagen die Schwellenwerte der <abbr>BSI</abbr>-Kritisverordnung unterschreiten, empfehlen wir Ihnen die Teilnahme am UP <abbr>KRITIS</abbr>'''''
* [[Siedlungsabfallentsorgung]].
Das [[Bundesamt für Sicherheit in der Informationstechnik]] nennt somit zehn Kritische Infrastrukturen.<ref>{{Internetquelle |url=https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/allgemeine-infos-zu-kritis_node.html |titel=Definition KRITIS |werk=bsi.bund.de |hrsg=Bundesamt für Sicherheit in der Informationstechnik |abruf=2024-03-11 |sprache=de}}</ref> Zudem wird ebenfalls die neue Kategorie „Unternehmen in besonderen öffentlichen Interesse“ (UBI) eingeführt<ref>[https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Weitere_regulierte_Unternehmen/UBI/ubi_node.html Unternehmen im besonderen öffentlichen Interesse] nach BSI, abgerufen am 22. November 2021</ref>. Darunter fallen bspw. Rüstungs- und Chemieunternehmen sowie die größten deutschen Konzerne, inkl. deren wesentliche Zulieferer.<ref>{{Internetquelle |autor=Johannes Kuhn |url=https://www.deutschlandfunk.de/it-sicherheitsgesetz-2-0-streit-um-die-lex-huawei.724.de.html?dram:article_id=489599 |titel=IT-Sicherheitsgesetz 2.0 – Streit um die „Lex Huawei“ |werk=Deutschlandfunk |hrsg= |datum=2020-12-18 |abruf=2020-12-29 }}</ref> Medial wird die neugeschaffene Kritis-Kategorie häufig auch als „Quasi-Kritis“ oder „Kritis-Light“ bezeichnet, da die gesetzlichen Anforderungen an „Unternehmen in besonderen öffentlichen Interesse“ zwar substanziell aber im Vergleich zu Betreibern Kritischer Infrastrukturen gemäß der BSI-KritisV weniger weitreichend sind.<ref>{{Internetquelle |autor=Götz Güttich |url=https://www.security-insider.de/unternehmen-im-besonderen-oeffentlichen-interesse-a-1014004/ |titel=Unternehmen im besonderen öffentlichen Interesse |hrsg=Security Insider |abruf=2021-06-01}}</ref>
Das [[Kritis-Dachgesetz]] soll ab 2024 die CER-Richtlinie umsetzen, und das NIS2-Umsetzungsgesetz soll die NIS2-Richtlinie umsetzen.<ref>{{Internetquelle |url=https://www.openkritis.de/it-sicherheitsgesetz/kritis-dachgesetz-sicherheitsgesetz-3-0.html |titel=KRITIS-Dachgesetz |werk=openkritis.de |abruf=2024-03-11 |sprache=de}}</ref>
* Ergänzende Informationen auf der Website des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (<abbr>BBK</abbr>)
Internetseiten des <abbr>BBK</abbr> zum Schutz Kritischer Infrastrukturen
== Wirtschaftliche Aspekte ==
== Wirtschaftliche Aspekte ==
Aufgrund der [[Vernetzung]] Kritischer Infrastrukturen sowohl sektorübergreifend als auch grenzüberschreitend bestehen starke, nicht-lineare [[Interdependenz]]en. Dies kann dazu führen, dass sich eine Störung von einem Betreiber einer Kritischen Infrastruktur durch [[Kaskadeneffekt]] auf andere Betreiber ausbreitet und somit die Bevölkerung gefährdet.<ref>[https://books.google.de/books?id=Iv7LDwAAQBAJ&pg=PT16&dq=kritische+infrastruktur&hl=de&sa=X&ved=0ahUKEwjq6Oa82aHpAhXD26QKHW16AJ8Q6AEIPTAD#v=onepage&q=kritische%20infrastruktur&f=false Stefan Voßschmidt/Andreas Karsten (Hrsg.), ''Resilienz und Kritische Infrastrukturen'', 2019, S. 20 f.]</ref> Betreiber ist nach {{§|1|BSI-KritisV|juris}} Nr. 2 BSI-KritisV eine [[natürliche Person|natürliche]] oder [[juristische Person]], die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt.
Aufgrund der [[Vernetzung]] Kritischer Infrastrukturen sowohl sektorübergreifend als auch grenzüberschreitend bestehen starke, nicht-lineare [[Interdependenz]]en
* Dies kann dazu führen, dass sich eine Störung von einem Betreiber einer Kritischen Infrastruktur durch [[Kaskadeneffekt]] auf andere Betreiber ausbreitet und somit die Bevölkerung gefährdet
== International ==
* Betreiber ist nach {{§|1|BSI-KritisV|juris}} Nr. 2 BSI-KritisV eine [[natürliche Person|natürliche]] oder [[juristische Person]], die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt
In der [[Schweiz]] umfasst das Spektrum der Kritischen Infrastrukturen neun Sektoren, unterteilt in 27 Teilsektoren (Branchen).<ref>[https://www.babs.admin.ch/de/aufgabenbabs/ski/kritisch.html Bundesamt für Bevölkerungsschutz (BABS), ''Die kritischen Infrastrukturen'', 2020], aufgerufen am 20. April 2020</ref>
Kritische Infrastrukturen sind in [[Österreich]] in {{§|74|Strafgesetzbuch|RIS-B|DokNr=NOR40177253 }} Z 11 [[Strafgesetzbuch (Österreich)|Strafgesetzbuch]] sowie in {{§|22|Sicherheitspolizeigesetz|RIS-B|DokNr=NOR40162533 }} Abs. 1 Z 6 [[Sicherheitspolizeigesetz]] definiert. Beauftragt für den Schutz sind das [[Bundesministerium für Inneres]] und das [[Bundeskanzleramt (Österreich)|Bundeskanzleramt]]; diese werden vom [[APCIP]] in der Umsetzung unterstützt. Österreich hat verbindliche bilaterale Verträge mit den Ländern [[Slowakei]] und [[Tschechien]], in denen sie sich gegenseitige Hilfe in Notlagen zusichern.
Auch eine [[D-A-CH]]-Kooperation sowie die Zusammenarbeit mit der [[Europäische Kommission|Europäischen Kommission]] bei [[EPCIP]], [[Fonds Innere Sicherheit]] (kurz ISF) und [[CIWIN]] bestehen.<ref>[https://www.bundeskanzleramt.gv.at/schutz-kritischer-infrastrukturen Österreichisches Programm zum Schutz kritischer Infrastrukturen, Masterplan 2014] aufgerufen am 4. März 2019</ref>
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Infrastrukturen sind jedermann zugängliche staatliche oder private Anlagen oder Einrichtungen, die in einem festgelegten organisatorischen und/oder geografischen Bereich Dienstleistungen zur Verfügung stellen
Kritische Infrastrukturen sind dementsprechend „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
„Kritisch“ bezieht sich auf die Systemrelevanz der Infrastrukturen, also auf die für das Gesamtsystem und die Daseinsvorsorge besonders bedeutsamen Einrichtungen
Es ist vielmehr so zu verstehen, dass Störungen oder Ausfälle weitreichende Folgen bis hin zu katastrophalen Auswirkungen für Staat, Wirtschaft und/oder große Teile der Bevölkerung haben können
Sektoren
Sektoren Kritischer Infrastrukturen
Energie
Informationstechnik und Telekommunikation
Transport und Verkehr
Gesundheit
Medien und Kultur
Wasser
Ernährung
Finanz- und Versicherungswesen
Siedlungsabfallentsorgung
Staat und Verwaltung
Alle Organisationen aus diesen Sektoren zählen unabhängig von ihrer Größe zu den Kritischen Infrastrukturen (KRITIS)
Die Sektoren Staat und Verwaltung sowie Medien und Kultur unterliegen jedoch nicht der Regulierung durch das BSIG
Durch das BSIG regulierte KRITIS-Sektoren
Gemäß § 2 Absatz 10 BSIG sind Kritische Infrastrukturen im Sinne dieses Gesetzes Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 BSIG (BSI-Kritisverordnung) näher bestimmt:
Arten
Kritische Infrastrukturen setzen sich zusammen aus technischen Basisinfrastrukturen und sozioökonomischen Infrastrukturen
Technische Basisinfrastrukturen gewährleisten die
Energieversorgung
Trinkwasserversorgung sowie Abwasserentsorgung und
ermöglichen Informationsaustausch, Kommunikation sowie
Teilweise sind sie interdependent wie beispielsweise Transport und Nahrungsmittelversorgung (Lieferketten)
Rechtsfragen
Im Sinne der EU-Richtlinie des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer Kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, ist eine Kritische Infrastruktur eine Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten
Die CER-Richtlinie (EU 2022/2557) reguliert die Resilienz bei Kritischen Infrastrukturen in der EU durch Maßnahmen in Unternehmen und staatliche Aufsicht
Die NIS-2-Richtlinie weitet Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen aus
Dienstleistungen und Schwellenwerte
BSI-Kritisverordnung definiert kritische Dienstleistungen und Schwellenwerte
Welche Einrichtungen, Anlagen oder Teile davon wegen ihrer Bedeutung für die Versorgung der Bevölkerung und damit für das Funktionieren des Gemeinwesens als Kritische Infrastrukturen im Sinne des BSIG gelten, wird durch die BSI-Kritisverordnung definiert. Ob ein bedeutender Versorgungsgrad vorliegt, ist vom Erreichen oder Überschreiten von in der BSI-Kritisverordnung aufgeführten Schwellenwerten abhängig. Werden diese Schwellenwerte erreicht oder überschritten, gelten für KRITIS-Betreiber die gesetzlichen Melde- und Nachweispflichten des BSIG.
Auch wenn Ihre Anlagen die Schwellenwerte der BSI-Kritisverordnung unterschreiten, empfehlen wir Ihnen die Teilnahme am UP KRITIS
Ergänzende Informationen auf der Website des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK)
Internetseiten des BBK zum Schutz Kritischer Infrastrukturen
Wirtschaftliche Aspekte
Aufgrund der Vernetzung Kritischer Infrastrukturen sowohl sektorübergreifend als auch grenzüberschreitend bestehen starke, nicht-lineare Interdependenzen
Dies kann dazu führen, dass sich eine Störung von einem Betreiber einer Kritischen Infrastruktur durch Kaskadeneffekt auf andere Betreiber ausbreitet und somit die Bevölkerung gefährdet
Betreiber ist nach Vorlage:§ Nr. 2 BSI-KritisV eine natürliche oder juristische Person, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt
