Welche Rechte und Pflichten mit KRITIS verbunden sind

Was genau ist ein KRITIS-Betreiber? Und welche Rechte und Pflichten gehen mit diesem Status einher? Schon jetzt müssen die Verantwortlichen zahlreiche Vorschriften beachten, das kommende Dachgesetz wird aber noch einiges ändern.

In Deutschland gibt es rund 2.000 KRITIS-Unternehmen (Kritische Infrastrukturen). Sie spielen für das staatliche Gemeinwesen eine besonders wichtige Rolle und unterliegen deshalb speziellen Regeln. Ein Ausfall oder eine Beeinträchtigung ihrer Dienste würde im schlimmsten Fall zu Versorgungsengpässen und erheblichen Störungen der öffentlichen Sicherheit führen. Das darf nicht passieren.

Rechtliche Voraussetzungen für KRITIS-Betreiber

Die aktuelle Rechtsgrundlage für KRITIS basiert auf mehreren Gesetzen, etwa auf dem IT-Sicherheitsgesetz, dem BSI-Gesetz, der BSI-KRITIS-Verordnung sowie der aktuellen NIS-Richtlinie. KRITIS sind in mehrere Sektoren unterteilt, die insgesamt 31 Branchen umfassen. Die aktuelle Einteilung gilt jedoch nicht als endgültig, sondern wird von Zeit zu Zeit angepasst. So kam im Jahr 2021 mit der „Siedlungsabfallentsorgung“ ein zehnter Sektor hinzu.

Zu KRITIS zählen Unternehmen, Anlagen oder Teile davon, die einen hohen „Versorgungsgrad“ aufweisen. Die BSI-KRITIS-Verordnung legt fest, dass eine Anlage ab einer Anzahl von 500.000 versorgten Personen als kritisch für die Bundesrepublik Deutschland eingestuft wird. Die Betreiber müssen solche Anlagen selbst identifizieren und beim BSI registrieren.

Daraus ergeben sich eine Reihe von Anforderungen, beispielsweise die Einrichtung einer Kontaktstelle, Meldepflichten, die Festlegung des Geltungsbereichs sowie die Umsetzung von Sicherheitsmaßnahmen „nach dem Stand der Technik“. Darüber hinaus müssen regelmäßige Überprüfungen stattfinden. Diese dienen dem Nachweis, dass die erforderlichen Sicherheitsmaßnahmen auch tatsächlich umgesetzt wurden. Die Verantwortung für die Erfüllung dieser Pflichten liegt bei der Geschäftsleitung. Sie kann jedoch die Umsetzung der notwendigen Maßnahmen delegieren.

• Identifizierung: Wie bereits erwähnt, tragen Unternehmen selbst dafür die Verantwortung, sich als KRITIS zu identifizieren. Dies betrifft auch Firmen, die in anderen Sektoren tätig sind, aber in Deutschland eine Kritische Infrastruktur betreiben, die in einem der Sektoren angesiedelt ist. Gleiches gilt für ausländische Betreiber.
• Registrierung: Sobald eine Anlage als KRITIS-relevant identifiziert wurde, muss sich diese bis spätestens zum 1. April des Folgejahres beim BSI in einem dafür eingerichteten Portal registrieren. Dabei ist auch eine Kontaktstelle einzurichten und bei der Registrierung anzugeben. Diese muss für das BSI rund um die Uhr erreichbar und handlungsfähig sein.
• Meldepflicht: IT-Störungen, Angriffe oder andere relevante Vorfälle sind dem BSI zu melden. Dabei kommt es zunächst vor allem auf Schnelligkeit an. Eine Vervollständigung der Informationen kann aus Dringlichkeitsgründen auch zu einem späteren Zeitpunkt erfolgen. Die Störungsmeldungen sollten mit S/MIME oder PGP verschlüsselt sein. Das BSI wertet diese Meldungen anschließend aus und informiert gegebenenfalls weitere betroffene KRITIS-Betreiber.
• Geltungsbereich: Betroffen sind die für die Versorgungssicherheit notwendigen Prozesse und Technologien, die der Betreiber bereitstellen und dokumentieren muss. Neben den internen Systemen betrifft das auch die Schnittstellen zu externen Systemen. Bei der Erfassung ist zudem zu berücksichtigen, zu wem Abhängigkeiten bestehen und welche Teile von Dritten betrieben werden. Darüber hinaus muss der Betreiber einen Netzstrukturplan erstellen, der als Orientierungshilfe dient.
• Erforderliche Maßnahmen: KRITIS-Betreiber müssen die Sicherheitsmaßnahmen regelmäßig überprüfen und optimieren. Außerdem liegt es in ihrer Verantwortung, dass ihre Anlagen dem Stand der Technik entsprechen. Das BSI hat dafür einen Katalog mit hundert Anforderungen zusammengestellt. Als „angemessen“ gelten dabei alle Maßnahmen, deren Aufwand zur Vermeidung eines Ausfalls oder einer Störung „gerechtfertigt“ ist. Hier hilft zum Beispiel die „Handreichung zum Stand der Technik“ (PDF) des Verbands TeleTrust. Darüber hinaus gilt es, ein Risikomanagement einzurichten und Verantwortlichkeiten festzulegen.

Hinzu kommen regelmäßige Prüfungen. Alle zwei Jahre ist ein KRITIS-Betreiber zu einem Audit oder einer Prüfung verpflichtet, die er selbst planen und durchführen muss. Anschließend muss der Betreiber dem BSI einen entsprechenden Nachweis vorlegen. In der Regel übernehmen externe Auditoren diese Aufgabe. Bei Unstimmigkeiten kann die Behörde eine Nachprüfung verlangen. Gegebenenfalls darf das BSI auch Sanktionen und Bußgelder verhängen.

Gesetzesänderungen durch die CER- und NIS-2-Richtlinie

Mehrere geplante Gesetzesänderungen haben in jüngster Zeit Fragen aufgeworfen. So sind am 16. Januar 2023 zwei EU-Richtlinien zum besseren Schutz Kritischer Infrastrukturen in Kraft getreten. Sie werden kurz als CER- beziehungsweise als NIS-2-Richtlinie bezeichnet. Ihre Umsetzung wirkt sich auf zahlreiche Unternehmen in Deutschland aus.

Der Begriff CER steht für „Critical Entities Resilience“. Im Deutschen wird die CER-Richtlinie auch als „EU-Richtlinie über die Resilienz kritischer Einrichtungen“ bezeichnet. Sie verpflichtet die Mitgliedstaaten der Europäischen Union, „kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschläge oder Sabotage zu stärken“. So schreibt es das Bundesministerium des Innern und für Heimat (BMI) auf seiner Website.

Die NIS-2-Richtlinie soll hingegen ein „hohes gemeinsames Cyber-Sicherheitsniveau in der Union“ gewährleisten. Sie weitet die Anforderungen an die IT-Sicherheit „auf noch mehr Sektoren und mehr Unternehmen aus“. Die betroffenen Firmen werden anhand ihrer Größe erfasst. „Das gilt grundsätzlich für alle mittleren- und Großunternehmen in den betroffenen Wirtschaftssektoren“, so das Ministerium.

Die Bandbreite der betroffenen Sektoren ist groß. Es handelt sich um die Bereiche Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastrukturen, öffentliche Verwaltung und Weltraum. Sie müssen in Zukunft einen erweiterten Schutz sowohl gegen physische Störungen als auch gegen Cyberangriffe gewährleisten.

Nach Schätzungen des Statistischen Bundesamtes betrifft die NIS-2-Richtlinie hierzulande rund 29.000 Unternehmen. Das seien mehr als fünfmal so viele wie bisher, kommentiert das BMI. Sie müssen künftig ebenfalls Risikomanagement-Maßnahmen im Bereich der Cybersicherheit vorweisen und Meldepflichten bei Cybervorfällen erfüllen. Rund 2.000 von ihnen fallen zudem in den Anwendungsbereich der CER-Richtlinie.

Die Vorgaben der EU-Richtlinien sollen in Deutschland im neuen KRITIS-Dachgesetz umgesetzt werden. Der Entwurf befindet sich seit Juli 2023 in der regierungsinternen Abstimmung. Die Rechtslage ist momentan also noch nicht endgültig geklärt.

Hoher Aufwand für KRITIS-Betreiber

KRITIS-Betreiber müssen hohe Anforderungen erfüllen, die durch das kommende Dachgesetz weitere Veränderungen erfahren. Dafür erhalten sie staatliche Unterstützung, gehen aber auch erhöhte Risiken und Pflichten ein. Wenn Sie Fragen zu diesem Themenkomplex haben oder Dienstleistungen benötigen, sprechen Sie uns an. Wir unterstützen Sie gerne.

Jetzt mehr erfahren zu VPN-Lösungen für den Public Sector!