Kritische Infrastrukturen/Gesetzgebung
KRITIS-Gesetzgebung
- Gesetze
- NIS2-Umsetzung
- KRITIS-Dachgesetz
- Sektoren
- Anlagen
- Einrichtungen
- Verordnung
- Gesetzgebung
- Behörden
Der Grundstein der KRITIS-Regulierung in Deutschland ist das BSI-Gesetz, das durch die IT-Sicherheitsgesetze 1.0 in 2015 und 2.0 in 2021 signifikant erweitert wurde. Das BSI-Gesetz reguliert die Sicherheit Kritischer Infrastrukturen (KRITIS) und legt Pflichten, Aufgaben und Befugnisse von Betreibern und Staat fest. # IT-Sicherheitsgesetze
Seit 2021 ist das erweiterte IT-Sicherheitsgesetz 2.0 in Kraft, mehrere KRITIS-Verordnungen 2021 und 2023 erweitern Anlagen und Schwellenwerte. Die KRITIS-Regulierung besteht aus mehreren, miteinander verwobenen Gesetzen und Verordnungen, die Sicherheit in Kritischen Infrastrukturen erhöhen sollen.
KRITIS-Gesetze
IT-Sicherheitsgesetze
Der Kern der Gesetzgebung zu Kritischen Infrastrukturen ist das IT-Sicherheitsgesetz von 2015, das 2021 durch das neue IT-Sicherheitsgesetz 2.0 erweitert wurde. Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ändert als Artikelgesetz bestehende Gesetze (s.o.) zum Schutz Kritischer Infrastrukturen, vor allem das BSIG.
eigene Zusammenstellung IT-Sicherheitsgesetze seit 2015, Stand Januar 2024
Gesetz | Jahr | Bedeutende Inhalte |
IT-Sicherheitsgesetz | 2015 | * Änderungsgesetz für BSIG und weitere Gesetze
|
IT-Sicherheitsgesetz 2.0 | 2021 | * Änderungsgesetz für BSIG und weitere Gesetze
|
NIS2-Umsetzung | 2024 | * Änderungsgesetz für BSIG und weitere Gesetze
|
KRITIS-Dachgesetz | 2024 | * Eigenes Gesetz
|
Relevante Gesetze
Der Kern der Gesetzgebung zu Kritischen Infrastrukturen ist das IT-Sicherheitsgesetz, IT-SiG, von 2015, das Ende Mai 2021 durch das neue IT-Sicherheitsgesetz 2.0 erweitert wurde. Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ändert als Artikel- bzw. Änderungsgesetz bestehende Gesetze zum Schutz Kritischer Infrastrukturen:
eigene Zusammenstellung KRITIS-Gesetze, Stand 2021
Gesetz | Kurzform | KRITIS-Relevanz |
BSI-Gesetz | BSIG | * Rechte und Pflichten des BSI gegenüber KRITIS-Betreibern
|
Energiewirtschaftsgesetz | EnWG | * Meldewesen an das BSI
|
Telekommunikationsgesetz | TKG | * Meldewesen an das BSI
|
Atomgesetz | AtG | * Meldewesen an das BSI
|
Telemediengesetz | TMG | * Anforderungen und Pflichten von Diensteanbietern
|
BKA-Gesetz | BKAG | * Befugnisse in der Strafverfolgung
|
Weitere | BBesGBGebGEG | * diverses
|
BSI-Gesetz (BSIG)
Übersicht
Das wichtigste Gesetz in der KRITIS-Regulierung ist das BSI-Gesetz, das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, BSIG. Das BSIG legt die zentralen Pflichten und Aufgaben der Akteure in der KRITIS-Regulierung in Paragraphen § fest.
eigene Zusammenstellung KRITIS-relevante BSIG-Paragraphen
Paragraph | Inhalt |
§2 | (10) - Definition KRITIS und Sektoren(14) - Definition UBI |
§8a | KRITIS-Sicherheitsvorgaben(1) - Angemessene Maßnahmen(1a) - Angriffserkennung(2) - Branchenstandards B3S(3) - KRITIS-Nachweisprüfungen(4) - Tiefenprüfungen(5) - Prüfungsvorgaben BSI |
§8b | Zentrale Meldestelle(3) - Registrierung als Betreiber(4) - Meldepflicht(4a) - Störungsinformationen(5) - Gemeinsame Kontaktstellen |
§8d | Anwendungsbereich KRITIS |
§8e | Auskunftsersuchen |
§8f | UBI |
§9b | Kritische Komponenten |
§10 | Ermächtigung Rechtsverordnungen |
§14 | Verstöße und Sanktionen
|
KRITIS-Betreiber
§8a legt die Anforderungen an KRITIS-Betreiber zur Sicherheit in ihren KRITIS-Anlagen fest und ist der zentrale Bezugspunkt für Sicherheitsmaßnahmen in der KRITIS-Gesetzgebung.
§8a (1) fordert angemessene technische und organisatorische Sicherheitsmaßnahmen in KRITIS-Anlagen nach Stand der Technik, §8a (1a) zählt explizit Angriffserkennung dazu, §8a (2) beschreibt mögliche branchenspezifische Sicherheitsstandards (B3S), §8a (3) die Nachweisprüfungen bei Betreibern und Übermittlung von Informationen an das BSI.
§8b definiert das BSI als zentrale Meldestelle für KRITIS-Betreiber.
§8b (3) legt die unmittelbare Registrierung als KRITIS-Betreiber und Einrichtung einer Kontaktstelle für den Austausch mit dem BSI fest, §8b (3a) berechtigt das BSI zu Einsicht in Unterlagen. §8b (4) definiert die durch KRITIS-Betreiber meldepflichtigen Störungen, §8b (4a) die Übermittlung von Störungs-Informationen an das BSI. §8b (5) erlaubt Betreibern gemeinsame Kontaktstellen in Sektoren.
§8c beschreibt Vorgaben für Anbieter digitaler Dienste im Sinne der NIS-Direktive der EU — mit Sicherheitsmaßnahmen, Meldepflichten und Austausch zwischen Behörden.
§8d spezifiziert den genauen Anwendungsbereich der §§8a bis 8c durch Ausschlüsse von bereits regulierten Unternehmen und Kleinstunternehmen aus einzelnen Paragraphen.
§8e regelt Auskunftsersuchen zu Informationen Kritischer Infrastrukturen und Betreibern.
§9b regelt den Einsatz und Meldepflicht von kritischen Komponenten in KRITIS-Anlagen.
Unternehmen im besonderen öffentlichen Interesse
§8f definiert die Cyber Security Pflichten der Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) und deren Zulieferer.
KRITIS-Prüfungen
Die normativen Anforderungen für Prüfer ergeben sich ebenfalls aus §8a
§8a (3) definiert die grundlegenden Pflichten, Zyklen und Anforderungen an Nachweise der Prüfungen
§8a (4) beschreibt die Tiefenprüfungen, die das BSI oder von ihm beauftragte Dritte bei KRITIS-Betreibern durchführen darf, um die Anforderungen aus §8a (1) zu überprüfen.
§8a (5) gibt dem BSI das Recht, für KRITIS-Prüfungen genauere Vorschriften und Anforderungen normativ festzulegen.
Das BSI und der Bund
§3 beschreibt die weitgehenden Aufgaben im öffentlichen Interesse des BSI, von der Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes bis zur Unterstützung und Beratung von KRITIS-Betreibern.
§4 legt das BSI als zentrale Meldestelle für Bundesbehörden, §4b als zentrale allgemeine Meldestelle für Sicherheit in der IT, §8b als zentrale Meldestelle für KRITIS-Betreiber für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.
§5 und §5a legen die sehr umfangreichen Aufgaben, Pflichten und Rechte des BSI bei der Abwehr von Gefahren für die Kommunikationstechnik des Bundes und der Wiederherstellung der Sicherheit fest, mit §5c Einsicht in Bestandsdaten von TK-Diensten.
§7 und §7a spezifieren die Aufgaben des BSI bei der Warnungen der Öffentlichkeit und betroffenen Kreise bei Sicherheitslücken, Schadprogrammen oder Datenverlust, und das Recht, IT-Produkte und Systeme auf dem Markt zu untersuchen.
§7a definiert Untersuchungen durch das BSI von IT-Produkten und Systemen, §7b Portscans durch das BSI an den Schnittstellen öffentlich erreichbarer IT-Systeme, §7c Anordnungen des BSI zur Störungsbeseitigung, §7d Anordnungen zur Abwehr konkreter, erheblicher Gefahren an Telemedien-Anbieter.
§8 definiert die Aufgabe vom BSI zum Erarbeiten von Mindeststandards für die IT-Sicherheit des Bundes und von technischen Richtlinien. Das Innenministerium kann die Mindeststandards als Verwaltungsvorschriften für den Bund erlassen; das BSI kann Behörden bei der Umsetzung beraten. §9 legt das BSI als nationale Zertifizierungsstelle für IT-Sicherheit im Bund fest.
§10 regelt das Recht und den Umgang mit tieferen Definitionen in Rechtsverordnungen.
§13 definiert das Berichtswesen vom BSI an das Innenministerium über seine Tätigkeiten und den Austausch KRITIS-relevanter Informationen in der EU und mit der Kommission.
§14 definiert vorsätzliche oder fahrlässige Verstösse gegen die KRITIS-Vorgaben in §8a-c als Ordnungswidrigkeit und legt dafür Bußgelder zwischen 50 und 100 Tsd. EUR, im neuen IT-SiG 2.0 bis 20 Mio. EUR fest.
Betroffenheit
§2 (10) definiert die Kritischen Infrastrukturen und aktuell gültigen KRITIS-Sektoren — und verweist dazu auf die KRITIS-Verordnung. §2 (14) definiert die drei Gruppen der Unternehmen im besonderen öffentlichen Interesse (UNBÖFI).
Definitionen
§1 und §2 definieren Begriffe von Informationstechnik bis Anbieter digitaler Dienste.
§3a, §6 bis §6f betreffen personenbezogene Daten und das BSI.
In §11 wird die Einschränkung des Fernmeldegeheimnisses (Artikel 10 Grundgesetz) beschrieben, durch wird das Fernmeldegeheimnis nun durch §4a, §5, §5a, §5b, §5c, §7b und §7 eingeschränkt — vormals nur §§5 und 5a.
KRITIS-Verordnung
BSI-KritisV
Die KRITIS-Verordnung, kurz KritisV, konkretisiert die Umsetzung des BSI-Gesetzes bei KRITIS-Betreibern und wurde nach dem IT-Sicherheitsgesetz verabschiedet. Sie wurde mit dem IT-Sicherheitsgesetz 2.0 zur KRITIS-Verordnung 2021 und dann 2023 überarbeitet.
KRITIS-Sektoren
Die KRITIS-Sektoren sind in §2 (10) BSIG definiert und werden durch die KritisV einzeln in §2 (Energie) bis §8 (Transport und Verkehr) beschrieben.
Kritische Dienstleistungen
Diese sind in §1 als Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren nach den §§ 2 bis 8, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde definiert. Die kritischen Dienstleistungen (kDL) sind pro Sektor in §§2-8 jeweils in Absatz (1) aufgezählt.
KRITIS-Anlagen
Anlagen sind die konkrete Ausgestaltung von Kritischen Infrastrukturen bei Unternehmen, die als Betreiber von KRITIS-Anlagen zu KRITIS-Betreiber werden.
Anlagen sind in §1 definiert als
Neu ist in 2021 §1 (c)
Die einzelnen Sektoren in §§2-8 haben in der KritisV jeweils einen Anhang 1-7, in denen in Teil 1 die einzelnen Anlagen pro Sektor definiert und beschrieben werden.
Versorgungssicherheit
Für die Versorgungssicherheit der Bevölkerung nimmt die KRITIS-Verordnung prinzipiell eine Kenngröße von 500.000 versorgten Personen pro KRITIS-Anlage an.
Diese Kenngröße wird in der Verordnung für die KRITIS-Anlagen auf Anlagen-spezifische Leistungen für 500.000 versorgte Personen umgerechnet, um den kritischen Schwellenwert zu ermitteln, ab dem die Anlage kritisch ist.
Schwellenwerte
Die Schwellenwerte in der KRITIS-Verordnung definieren pro Anlage den Punkt, ab dem Anlagen bei Betreibern zur Kritischen Infrastruktur und KRITIS-Anlagen werden. Im Effekt sind die Schwellenwerte die für 500.000 Personen umgerechnete Leistung pro Anlage, basierend auf einem Durchschnittsverbauch pro Person.
Die Schwellenwerte werden in §1 definiert als
Die einzelnen Schwellenwerte der Anlagen werden pro Sektor in Anhang 1-7 jeweils in Teil 2 hergeleitet. In Teil 3 werden alle Schwellenwerte und Anlagen im Sektor aufgelistet.
Fristen
Die Fristen zum Überschreiten von Schwellenwerten als Kritische Infrastruktur sind ebenfalls pro Sektor in Anhang 1-7 jeweils in Teil 1 definiert.
KRITIS-Verordnung 2.0
KRITIS-Anlagen und Schwellenwerte ändern sich mit dem IT-Sicherheitsgesetz 2.0: ein separater KRITIS-Anlagen 2021 und 2023 Artikel analysiert die Änderungen 2021 und 2023.
Weitere Gesetze
Das IT-Sicherheitsgesetz ändert weitere Gesetze für bereits regulierte Betreiber:
Energiewirtschaftsgesetz (EnWG): Am EnWG wurden durch das IT-Sicherheitsgesetz 1.0 verschiedene Regelungen für Betreiber von Energieanlagen und Energieversorungsnetzen angepasst und Neuregelungen eingefügt, speziell in §11 EnWG.
Atomgesetz (ATG):Für Betreiber kerntechnischer Anlagen mit §44b ATG Regelungen zur Meldepflicht für Sicherheit in der IT an das BSI aufgenommen.
Telekommunikationsgesetz (TKG): Diverse Änderungen an §100, §109 und §109a TKG (alt) für Maßnahmen und Meldepflichten von Telekommunikationsanbietern an die BNetzA.
Das Telekommunikationsgesetz wurde im November 2021 umfangreich überarbeitet und regelt die Pflichten der Betreiber von Telekommunikationsinfrastruktur und -diensten. Dazu gehört unter anderem IT-Sicherheit in §165, §166 und §167 und §168 TKG.
Telemediengesetz (TMG): Anpassungen für Diensteanbieter zu Sicherheitsmaßnahmen §13.
Sonstiges: Es gab weiterhin Änderungen am Bundesbesoldungsgesetz zur Einordung des BSI-Präsidenten, am BKA-Gesetz für weitere Befugnisse in der Strafverfolgung und am Gesetz zur Strukturreform des Gebührenrechts des Bundes für BSI-Gebühren.
Weitere Informationen
Quellen
- https://www.openkritis.de/it-sicherheitsgesetz/gesetzgebung-kritis-bsig.html
- Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- https://www.openkritis.de/it-sicherheitsgesetz/gesetzgebung-kritis-bsig.html