Kritische Infrastrukturen/Deutschland
In Deutschland erscheinen Kritische Infrastrukturen als Rechtsbegriff erstmals im Dezember 2008 im Raumordnungsgesetz (ROG)
- Danach ist es einer der Grundsätze der Raumordnung, dass nach Vorlage:§ Abs. 2 Nr. 3 ROG dem Schutz Kritischer Infrastrukturen Rechnung zu tragen ist
- In den Bereich des Schutzes Kritischer Infrastrukturen fällt auch die Versorgung von Schlüsselindustrien, deren Beeinträchtigung unmittelbar schwerwiegende Störungen der Versorgungslage nach sich ziehen würde
Dabei gilt als Maß für die Bedeutung einer Infrastruktur im Hinblick auf ihre Systemfunktionalität die „Kritikalität von Infrastrukturen“
- Kritische Infrastrukturen im Sinne des Vorlage:§ Abs. 10 BSI-Gesetz sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden
Die Betreiber Kritischer Infrastrukturen sind gemäß Vorlage:§ Abs. 1 BSI-Gesetz verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind
- Das Bundesministerium des Innern bestimmte gemäß Vorlage:§ Abs. 1 BSI-Gesetz durch Rechtsverordnung näher, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten
- Diese Rechtsverordnung ist die BSI-KritisV (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, BSI-Kritisverordnung), die folgende sieben Sektoren als Kritische Infrastrukturen identifiziert
- Energie: Elektrizität, Gas, Mineralöl, Fernwärme (Vorlage:§ BSI-KritisV)
- Wasser: Öffentliche Wasserversorgung, öffentliche Abwasserbeseitigung (Vorlage:§ BSI-KritisV)
- Ernährung: Ernährungswirtschaft, Lebensmittelhandel (Vorlage:§ BSI-KritisV)
- Informationstechnik und Telekommunikation (Vorlage:§ BSI-KritisV)
- Gesundheit: Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore (Vorlage:§ BSI-KritisV)
- Finanz- und Versicherungswesen: Kreditinstitute, Börsen, Versicherungen, Finanzdienstleister (Vorlage:§ BSI-KritisV)
- Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik (Vorlage:§ BSI-KritisV)
Zusätzlich rechnet das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe folgende Kritische Infrastrukturen hinzu
- Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/Rettungswesen einschließlich Katastrophenschutz sowie
- Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut und symbolträchtige Bauwerke
Die beiden letzten Sektoren sind nicht Bestandteil der BSI-KritisV
Mit dem im Mai 2021 verabschiedeten IT-Sicherheitsgesetz 2.0 und den damit verbundenen Änderungen des BSI-Gesetzes tritt ein weiterer Kritis-Sektor hinzu
Das Bundesamt für Sicherheit in der Informationstechnik nennt somit zehn Kritische Infrastrukturen
- Zudem wird ebenfalls die neue Kategorie „Unternehmen in besonderen öffentlichen Interesse“ (UBI) eingeführt
Darunter fallen beispielsweise Rüstungs- und Chemieunternehmen sowie die größten deutschen Konzerne, inkl. deren wesentliche Zulieferer Medial wird die neu geschaffene Kritis-Kategorie häufig auch als „Quasi-Kritis“ oder „Kritis-Light“ bezeichnet, da die gesetzlichen Anforderungen an „Unternehmen in besonderen öffentlichen Interesse“ zwar substanziell aber im Vergleich zu Betreibern Kritischer Infrastrukturen gemäß der BSI-KritisV weniger weitreichend sind
Das Kritis-Dachgesetz soll ab 2024 die CER-Richtlinie umsetzen, und das NIS2-Umsetzungsgesetz soll die NIS2-Richtlinie umsetzen