Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    KRITIS 2.0 - die neue Verordnung: was Betreiber kritischer Infrastrukturen jetzt wissen müssen

    Home Blog Energie

    Ist das normal oder schon KRITIS!? Das im Mai 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 hat die KRITIS-Regulierung deutlich verschärft. Mit der neuen KRITIS-Verordnung 2.0 gilt es mit all seinen Pflichten nun für deutlich mehr Unternehmen und Anlagen als bisher. Wir schauen uns die Änderungen genauer an.

    Willkommen im Änderungs-Dschungel

    „Informationssicherheit ist ein Prozess“, verkündet das BSI auf einer seiner Internetseiten schon fast philosophisch. Analog dazu könnte man die KRITIS-Regulierung ebenfalls als einen (langen) Prozess bezeichnen. Der begann 2008 mit einer EU-Richtlinie zum Schutz europäischer Kritischer Infrastrukturen und mündete 2015 in das erste IT-Sicherheitsgesetz (IT-SiG). Im Mai 2021 trat dann das IT-Sicherheitsgesetz 2.0 in Kraft. Es brachte weitere umfangreiche Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, BSIG) und änderte wie schon das erste IT-SiG auch Telekommunikationsgesetz, Energiewirtschaftsgesetz und andere Gesetze.

    Jetzt ist die KRITIS-Verordnung 2.0 für das IT-SiG 2.0 da und überrascht mit grundlegenden Änderungen beim Geltungsbereich für Unternehmen und KRITIS-Anlagen sowie angepassten Schwellenwerten – mit dem Ergebnis, dass wahrscheinlich 270 weitere Betreiber zum KRITIS-Kreis hinzugezählt werden müssen.

    Pflichten, Verstöße, Bußgelder

    Wir erinnern uns: Das BSIG stellt in § 8a und § 8b klar, dass informationstechnische Systeme Kritischer Infrastrukturen von den Betreibern durch angemessene organisatorische und technische Vorkehrungen abzusichern und dass Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen sowie Störungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind. Nach § 8b (3) BSIG sind die betroffenen Betreiber verpflichtet, die Kritischen Infrastrukturen beim Bundesamt zu registrieren und eine Kontaktstelle zu benennen.

    Um diesen Pflichten Nachdruck zu verleihen, sind die Tatbestände für Ordnungswidrigkeiten ausgeweitet und höhere Bußgelder festgelegt worden. Fehlende Nachweise, fehlende Maßnahmen oder ein Zuwiderhandeln bei Anordnungen zur Gefahrenabwehr können empfindliche Geldbußen nach sich ziehen: bis zu 2 Mio. Euro bzw. sogar bis zu 20 Mio. Euro für juristische Personen und Personenvereinigungen bei bestimmten Tatbeständen (siehe Verweis auf § 30 (2) Gesetz über Ordnungswidrigkeiten). Das sind Summen, die nicht mehr so leicht aus der Portokasse bezahlt werden können.

    IT-SiG 2.0: Automatische Angriffserkennung

    Das IT-SiG 2.0 spricht erstmals von Systemen zur Angriffserkennung, die ab dem 1. Mai 2023 verpflichtend werden (§ 8a (1a) BSIG). Diese müssen Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Auf diese Weise kommt man zum Beispiel Ransomware auf die Spur – Erpressungstrojaner, die sich häufig unbemerkt im System bewegen und Nutzerdaten unbrauchbar machen. Das BSI-Lagezentrum zählt diese Erpressungsmasche zu den ausgefeilteren „fortschrittlichen Angriffstechniken“. Die Abwehrsysteme sollten außerdem dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie bei Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Fachleute werten diese Beschreibung als Hinweis auf ein gewünschtes Security Information and Event Management (SIEM). Bereits 2021 haben wir die Einführung eines SIEM als notwendige nachzurüstende Anforderung in unserem Whitepaper zum IT-Sicherheitsgesetz 2.0 skizziert. Ein intelligentes SIEM kann durch das Sammeln und Aufbereiten von Informationen (zum Beispiel Protokolldaten und Alerts) nahezu in Echtzeit Ungereimtheiten sichtbar machen und anhand verdächtiger Verhaltensmuster mit Bezug auf Benutzer, Hosts, IP-Adressen oder Anwendungen sogar höchst komplexe Bedrohungen erkennen. Auch wenn ein SIEM im neuen IT-Sicherheitsgesetz nicht explizit genannt wird – im BSI-Katalog zur Konkretisierung der Anforderungen an die Maßnahmen gemäß § 8a BSIG von 2020 wird ein SIEM zur Überwachung von Zugangs- und Zugriffsberechtigungen bereits vorgeschlagen. Es spricht also einiges dafür, dass diese Lösung vom Bundesamt favorisiert wird. 

    Kritische Komponenten nur mit Herstellergarantie

    Nicht nur für Nutzer, auch für Zulieferer kritischer Komponenten sicherlich von Bedeutung: Die Hersteller sind verpflichtet, gegenüber dem Betreiber der Kritischen Infrastruktur noch vor dem Einsatz der Komponente eine Garantieerklärung über ihre Vertrauenswürdigkeit abzugeben. Darin sollen Hersteller darlegen, wie sie sicherstellen, dass die zugelieferten Komponenten nicht die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur beeinträchtigen können, insbesondere im Rahmen von „Sabotage, Spionage oder Terrorismus“ (BSIG § 9b (3) „Zertifizierung“). Im Zweifelsfall kann das Bundesministerium des Innern, für Bau und Heimat den Einsatz einer kritischen Komponenten untersagen.

    Zusätzlich gilt natürlich auch und gerade bei kritischen Komponenten, dass KRITIS-Betreiber regelmäßig und nachweisbar ihre Lieferanten überprüfen müssen, zum Beispiel im Rahmen von Dienstleister- und Lieferantenaudits nach ISO 27001. Mehr zur ISO 27001 lesen Sie im Whitepaper. 

    KRITIS 2.0 – dringend notwendiges Update der KritisV

    Welche Einrichtungen, Anlagen oder Teile davon in den einzelnen Sektoren als „Kritische Infrastrukturen“ im Sinne des BSI-Gesetzes gelten, ist weitergehend durch eine Rechtsverordnung bestimmt – die KRITIS-Verordnung von 2016 bzw. 2017. Seit dieser Fassung hat sich die Unternehmenslandschaft der KRITIS allerdings stark verändert und tatsächlich haben sich einige Definitionen als obsolet entpuppt, wie die Evaluierung ergab (siehe zum Beispiel wegfallende Anlagen im Bereich Strom wie Messstellen und Speicheranlagen). Auch darum tritt nun zum 01.01.2022 die KRITIS-Verordnung 2.0 in Kraft, die neue Anlagenkategorien, Bemessungskriterien und Schwellenwerte für den Kreis der KRITIS-Betriebe aufführt. Hier müssen alle noch einmal genau hinschauen. So gelten Energie-Erzeugungsanlagen beispielsweise schon ab 36 MW Leistung als KRITIS-Einrichtung (vorher: 420 MW). Und im Sektor Transport können sich von nun an die Betreiber von Intelligenten Verkehrssystemen im Straßenverkehr zum auserwählten Kreis zählen. Insgesamt sollen sich schätzungsweise 270 zusätzlich betroffene Betreiber einer Kritischen Infrastruktur zu den knapp 1.600 bestehenden gesellen. Aufgeteilt in die einzelnen Bereiche ergibt sich folgendes Bild (Stand Dezember 2021; Quelle: OpenKRITIS):

    Sektor Energie: 167 neue Betreiber
    Informationstechnik und Telekommunikation: 10 neue Betreiber
    Finanz- und Versicherungswesen: 21 neue Betreiber
    Transport und Verkehr: 72 neue Betreiber

    Für die fehlenden Sektoren gibt es noch keine Schätzungen. Auch nicht für den mit der IT-SiG-Novelle neu hinzugekommenen Sektor Siedlungsabfallentsorgung und die „Unternehmen im besonderen öffentlichen Interesse“ (UBI/UNBÖFI). Nach § 2 (14) wird letztere Gruppe wie folgt definiert:

    • Hersteller und Entwickler von Gütern nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung, das sind im Wesentlichen Waffen, Munition und Rüstungsmaterial, sowie Hersteller von Produkten oder Komponenten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen.
    • Unternehmen, die nach ihrer Wertschöpfung zu den größten in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind.
    • Die Betreiber eines Betriebsbereichs der oberen Klasse von gefährlichen Stoffen im Sinne der Störfall-Verordnung. Betriebsbereiche der unteren Klasse können ebenfalls inkludiert sein. 

    Genauere Definitionen und Schwellenwerte bleiben die Gesetzestexte allerdings schuldig. Es ist also mit weiteren Rechts- oder Änderungsverordnungen zu rechnen.

    Fazit

    Das IT-Sicherheitsgesetz 2.0 und die Änderungen durch die KRITIS-Verordnung 2.0 zeigen, dass Cybersicherheit in Deutschland endlich ernst genommen wird. Das BSI empfiehlt „aufgrund der IT-Sicherheitslage jederzeit und für jedes Unternehmen, das eigene IT-Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen.“ Welche Maßnahmen dafür jetzt im Bereich KRITIS notwendig sind, haben wir in einem aktuellen Whitepaper zusammengefasst. Als IT-Sicherheitsdienstleister sind wir von dem Gesetz selbst betroffen und kennen die Sicherheitsanforderungen der KRITIS-Branchen im Detail. Sprechen Sie uns gerne an!

    Jetzt beraten lassen »

    Whitepaper zum IT-Sicherheitsgesetz von 2021

    Welche Pflichten das IT-Sicherheitsgesetz 2.0 betroffenen Unternehmen auferlegt, können Sie im Detail in unserem kostenlosen Whitepaper nachlesen.

    Kritische Infrastrukturen: Jetzt sind auch Energie-Erzeuger gefordert

    Jul 11, 2019 11:00:00 AM Die KRITIS-Verordnung wird ausgeweitet. Auch kleinere Energie-Erzeugungsanlagen fallen nun unter die Sicherheits-Verordnung für kritische Infrastrukturen. Wer ist betroffen und was ist zu tun?

    Sicherheit ist kein Luxus: Warum IT-Systeme fast immer hochkritisch sind

    May 17, 2017 11:00:00 AM Die Ransomware WannaCry hat uns alle schmerzhaft spüren lassen: Wir sind so sehr von Informationstechnik abhängig, dass fast alle IT-Systeme als kritisch eingestuft werden sollten. Bisher werden zu ...

    Kleine Netzbetreiber können ISO-Zertifizierung eigenständig umsetzen

    Mar 10, 2017 10:19:55 AM Mit einem Lösungspaket gibt die Consulting-Abteilung des Leipziger Digital-Dienstleisters EWERK Energieversorgern ein Werkzeug zur eigenständigen ISO-Zertifizierung an die Hand. Michael Stach, Head ...

    KRITIS: Halbzeit für kritische Infrastruktren

    Feb 12, 2018 9:05:58 PM Acht Monate nach KRITIS haben Betreiber kritischer Infrastrukturen gelernt, dass es nicht ausreicht, Arbeitsanweisungen zu produzieren: eine erste Bilanz.

    Containertechnologie OpenShift im KRITIS-Umfeld: Maßgeschneiderte Sicherheit

    Sep 4, 2020 12:36:00 PM Die IT von Unternehmen der KRITIS-Branchen muss höchsten Sicherheitsstandards genügen. Container-Technologien eignen sich dafür nahezu ideal – allerdings nicht jede. Warum und worauf es ankommt, ...

    Das papierlose Büro: So gelingt der digitale Wandel

    Dec 17, 2020 3:20:00 PM Der Konkurrenz immer einen Klick voraus durch höhere Wertschöpfung und digitale Prozesse? Das papierlose Büro macht es möglich. Wie Sie sich als Unternehmen vom Papier befreien: EWERK zeigt, worauf ...

    IT-Sicherheitsgesetz 2.0: Was KRITIS-Institutionen jetzt wissen müssen

    Apr 15, 2021 12:04:28 PM IT-Sicherheitsgesetz 2.0: Das müssen Unternehmen & Institutionen jetzt wissen

    IT-Sicherheitsgesetz 2.0: Die ultimative Checkliste für Unternehmen

    May 27, 2021 1:51:00 PM Am 23. April 2021 hat der Bundestag die Novelle des IT-Sicherheitsgesetzes mit den Stimmen der CDU/CSU und SPD verabschiedet. Das müssen Sie als betroffenes Unternehmen  jetzt tun: Unsere Checkliste ...

    IT-Sicherheit für kritische Infrastrukturen: Das müssen KRITIS-Betreiber beachten

    Jan 11, 2022 5:12:52 PM Wer kritische Infrastrukturen betreibt, muss angemessene organisatorische und technische Vorkehrungen treffen, um ihre Sicherheit und Funktionsfähigkeit zu gewährleisten. Aber was genau heißt das?

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des