Ein flächendeckender Stromausfall, kein fließend Wasser, keine Bezahlmöglichkeiten – unvorstellbare Szenarien. Damit sie nicht Realität werden, hat der Gesetzgeber Kritische Infrastrukturen (KRITIS) definiert, die für ein funktionierendes Gemeinwesen eine zentrale Rolle spielen.
Denn bei einem Ausfall oder einer Beeinträchtigung von KRITIS-Unternehmen kann es zu nachhaltig wirkenden Versorgungsengpässen, einer Störung der öffentlichen Sicherheit oder anderen dramatischen Folgen kommen. Deshalb müssen sie hohe Anforderungen im Bereich IT-Sicherheit erfüllen, um Störungen zu vermeiden – wenn sie eine bestimmte Versorgungsrelevanz haben und festgelegte Schwellenwerte überschreiten.
Welche Sektoren und Branchen betroffen sind und welcher Sektor zuletzt hinzugekommen ist, lesen Sie hier.
Sektoren sind Oberkategorien wie zum Beispiel Energie, Gesundheit oder Transport und Verkehr, die sich wiederum in Branchen unterteilen. So sind Branchen gemäß KRITIS etwa Elektrizitäts- oder Gasversorgung, Krankenhäuser, Flugsicherungsdienste, Lebensmittelproduktion und -handel und viele mehr.
Der Gesetzgeber hatte sich für eine Schritt-für-Schritt-Einführung entschieden, und nicht alle Unternehmen und Organisationen mussten gleichzeitig alle KRITIS-Anforderungen erfüllen. Sie wurden Körben zugeordnet. Das sind zeitliche und inhaltliche Erweiterungsstufen der KRITIS-Regulierung, die seit 2016 nach und nach in Kraft traten. Der zuletzt in Kraft getretene Korb (im Jahr 2024) umfasst die Siedlungsabfallentsorgung.
Gemäß § 2 Absatz 10 BSIG sind Kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon, die den folgenden zehn Sektoren angehören:
1. Energie
2. Informationstechnik und Telekommunikation
3. Transport und Verkehr
4. Gesundheit
5. Medien und Kultur
6. Wasser
7. Ernährung
8. Staat und Verwaltung
9. Finanz- und Versicherungswesen
10. Siedlungsabfallentsorgung
Jeder Sektor gliedert sich auf in Branchen, die für bestimmte kritische Dienstleistungen zuständig sind.
Ohne Energie steht die Gesellschaft still.
Branchen:
► Elektrizität (Versorgung der Allgemeinheit mit Elektrizität – Stromversorgung)
► Gas (Versorgung der Allgemeinheit mit Gas – Gasversorgung)
► Mineralöl (Versorgung der Allgemeinheit mit Kraftstoff und Heizöl – Kraftstoff- und Heizölversorgung)
► Fernwärme (Versorgung der Allgemeinheit mit Fernwärme – Fernwärmeversorgung)
Die Abhängigkeit von informationstechnischen Systemen wächst stetig. Insbesondere sind auch alle anderen KRITIS-Sektoren abhängig von funktionierenden IT-Systemen.
Branchen:
► Telekommunikation (kritische Dienstleistungen: Sprach- und Datenübertragung)
► Informationstechnik (kritische Dienstleistung: Datenspeicherung und -verarbeitung)
Auf Mobilität von Gütern und Personen sind moderne Volkswirtschaften angewiesen.
Branchen:
► Luftverkehr (Leistungen zum Transport von Personen sowie Gütern)
► Seeschifffahrt (Leistungen zum Transport von Personen sowie Gütern)
► Binnenschifffahrt (Leistungen zum Transport von Personen sowie Gütern)
► Schienenverkehr (Leistungen zum Transport von Personen sowie Gütern)
► Straßenverkehr (Leistungen zum Transport von Personen sowie Gütern)
► Logistik (Leistungen zum Transport von Gütern)
► Öffentlicher Personennahverkehr (Leistungen zum Transport von Personen)
Die Behandlung von Patientinnen und Patienten, Arzneimittelversorgung, Labordienstleistungen etc. fallen in diesen Bereich.
Branchen:
► Medizinische Versorgung (stationäre medizinische Versorgung)
► Arzneimittel und Impfstoffe (Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper)
► Labore (Laboratoriumsdiagnostik und Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten)
Medien und Kultur sind zentral für eine moderne, informierte, offene, pluralistische Gesellschaft. Medien stellen über verschiedene Verbreitungswege Informationen bereit. Kultur ist die Identität einer Gesellschaft und damit besonders schützenswert.
Branchen:
► Rundfunk – Fernsehen und Radio (Warnung und Alarmierung, Versorgung mit Informationen, Herstellen von Öffentlichkeit)
► Gedruckte und elektronische Presse (Warnung und Alarmierung, Versorgung mit Informationen, Herstellen von Öffentlichkeit)
► Archive, Bibliotheken, Museen (Aufbewahrung identitätsstiftender Kulturgegenstände und Dokumente, Vermittlung kultureller Identität, Langzeitsicherung und -lagerung von mikroverfilmten Dokumenten der deutschen Geschichte gemäß Haager Konvention zum Schutz von Kulturgut)
► Kulturdenkmale, Kulturdenkmalorte (Aufbewahrung identitätsstiftender Kulturgegenstände und Dokumente, Vermittlung kultureller Identität, Langzeitsicherung und -lagerung von mikroverfilmten Dokumenten der deutschen Geschichte gemäß Haager Konvention zum Schutz von Kulturgut)
Trinkwasser und Abwasseraufbereitung sind zentrale Bausteine für eine funktionierende Gesellschaft und die Wirtschaft.
Branchen:
► Öffentliche Wasserversorgung (Versorgung der Allgemeinheit mit Trinkwasser)
► Öffentliche Abwasserbeseitigung (Beseitigung von Abwasser der Allgemeinheit)
Die Versorgung mit Nahrungsmitteln ist ein wesentlicher Bestandteil der staatlichen Daseinsvorsorge.
Branchen:
► Ernährungswirtschaft (Versorgung der Allgemeinheit mit Lebensmitteln, Lebensmittelproduktion, Lebensmittelverarbeitung)
► Lebensmittelhandel (Versorgung der Allgemeinheit mit Lebensmitteln)
Dieser Sektor sorgt für Sicherheit sowie die Einhaltung der Grundrechte und der öffentlichen Ordnung.
Branchen:
► Parlament (Gesetzgebung, Kontrolle der Regierung)
► Regierung und Verwaltung (Umsetzung von Recht im Rahmen der Eingriffs- und Leistungsverwaltung, Verteidigung)
► Judikative und Justizeinrichtungen (Rechtsprechung und deren Vollzug)
► Notfall- und Rettungswesen einschließlich Katastrophenschutz ((polizeiliche und nicht-polizeiliche) Gefahrenabwehr)
Dieser Sektor hat höchste Bedeutung für den Wirtschaftskreislauf.
Branchen:
► Banken, Börsen, Finanzdienstleister, Versicherungen (Bargeldversorgung, kartengestützter Zahlungsverkehr, konventioneller Zahlungsverkehr, Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften, Versicherungsdienstleistungen)
Wenn die Abfallentsorgung nicht zuverlässig funktioniert, gerät das öffentliche Leben schnell aus den Fugen.
Branche:
► Siedlungsabfallentsorgung (Entsorgung von Siedlungsabfällen)
Unternehmen der Kritischen Infrastruktur sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen zu vermeiden. Ein entsprechender Nachweis ist alle zwei Jahre zu erbringen. Allerdings macht das BSI keine genauen Vorschriften darüber, wie dieser Nachweis konkret auszusehen hat, es gibt lediglich die Art der einzureichenden Unterlagen vor.
Betreiber Kritischer Infrastrukturen müssen
► eine Kontaktstelle benennen,
► IT-Störungen (oder erhebliche Beeinträchtigungen) melden,
► IT-Sicherheit auf dem „Stand der Technik" umsetzen
► und dies alle zwei Jahre gegenüber dem BSI nachweisen.
In einigen Branchen gibt es inzwischen sogenannte branchenspezifische Standards – B3S –, die Unternehmen als Nachweis zum Stand der Technik nutzen können. Eine Verpflichtung hierzu besteht jedoch nicht. B3S sind auch nur zur Erstellung einer Prüfgrundlage geeignet, bei Erfüllung jedoch alleinig kein Nachweis der geforderten Sicherheit.
Ansonsten ist eine Orientierung an gängigen Normen wie der ISO/IEC 27001 für Informationssicherheits-Managementsysteme sinnvoll – „nur“ eine ISO/IEC 27001-Zertifizierung ist allerdings nicht ausreichend, beispielsweise weil gemäß der Norm risikomindernde Maßnahmen ausgeschlossen oder Risiken bei Berücksichtigung der Wirtschaftlichkeit akzeptiert werden können. Das bedeutet für Betreiber, dass sie ihre Maßnahmen auch von externen Prüfern in einem eigenen Nachweisdokument des BSI bestätigen lassen müssen, dass die IT-Sicherheitsvorkehrungen dem vom BSI geforderten „Stand der Technik“ entsprechen. Ergänzend hierzu kann das BSI einen Prüfbericht des Dienstleisters anfordern.
Zählt ein Unternehmen in der entsprechenden Branche zu KRITIS oder nicht? Das 2015 in Kraft getretene IT-Sicherheitsgesetz definiert diejenigen Branchen als Kritische Infrastruktur, bei denen eine Störung oder ein Ausfall dramatische wirtschaftliche und gesellschaftliche Folgen hätte.
Allerdings fällt nicht jedes branchenzugehörige Unternehmen unter die Nachweispflicht. Diese beginnt erst ab einer gewissen Größe bzw. Wichtigkeit. Deshalb hat der Gesetzgeber sowohl Anlagenkategorien und Schwellenwerte festgelegt, die in den Anhängen 1 bis 8 der BSI-KritisV zu finden sind.
Wer die Schwellenwerte überschreitet, zählt zur Kritischen Infrastruktur. Das BSI empfiehlt deshalb allen Organisationen, bis zum 31. März eines Jahres zu prüfen, ob ihre Anlagen im vergangenen Jahr die festgelegten Schwellenwerte überschritten haben, denn dann zählen sie ab dem 1. April zur Kritischen Infrastruktur und müssen die entsprechenden Pflichten erfüllen. Berücksichtigt werden sollte zudem eine perspektivische Überschreitung der Schwellenwerte.
Sind Unternehmen in mehreren KRITIS-Sektoren tätig und überschreiten die gültigen Schwellenwerte, dann gelten sie für jeden dieser Sektoren separat als KRITIS-Betreiber. Das bedeutet: Sie müssen für jeden betroffenen Sektor die jeweiligen Anforderungen eigenständig erfüllen.
Mit der Novellierung des IT-Sicherheitsgesetzes wurde die Siedlungsabfallentsorgung im Mai 2021 als neuster Sektor in die Kritische Infrastruktur aufgenommen. Seit dem 6. Dezember 2023 sind auch die Anlagenkategorien und Schwellenwerte geregelt – mit der entsprechenden Änderung der sogenannten BSI-Kritisverordnung.
Mit der Aufnahme des Sektors will der Gesetzgeber Resilienz in der Siedlungsabfallentsorgung sicherstellen. Betroffen sind zahlreiche Unternehmen aller Größen sowie kommunale Betriebe.
Gemäß § 3 Absatz 5a Kreislaufwirtschaftsgesetz (KrWG) zählen zu Siedlungsabfällen unter anderem die Abfälle aus
► privaten Haushalten,
► Arzt- und Rechtsanwaltspraxen,
► Schulen,
► Krankenhäusern und
► Pflegeeinrichtungen.
Werden solche Abfälle nicht zeitnah fachgerecht entsorgt, könnten sich etwa Schädlinge und Krankheiten ausbreiten, die Umwelt Schäden davontragen und der Straßenverkehr behindert werden. Mit möglicherweise dramatischen Folgen für das Gemeinwesen. Deshalb hat der Gesetzgeber diesen Sektor zur Kritischen Infrastruktur erklärt.
Wie in allen Sektoren sind in der BSI-Kritisverordnung Anlagenkategorien und Schwellenwerte festgelegt – für die Siedlungsabfallentsorgung im Anhang 8 BSI-KritisV. Anhand dieser können Unternehmen zuordnen, ob sie aktiv werden und die branchenspezifischen KRITIS-Anforderungen erfüllen müssen.
Das BSI empfiehlt allen Organisationen, bis zum 31. März zu prüfen, ob ihre Anlagen im vergangenen Jahr die festgelegten Schwellenwerte überschritten haben, denn dann gelten sie ab dem 1. April zur Kritischen Infrastruktur. Beispielsweise gehören Anlagen zur Disposition der Siedlungsabfallsammlung oder -beförderung zu KRITIS, wenn z. B. mehr als 500.000 Einwohner an ihre Abfallsammlung angeschlossen sind.
Die Kritische Infrastruktur in Deutschland muss funktionieren. Sie darf nicht ausfallen. Deshalb haben Betreiber besondere Resilienz-Pflichten zu erfüllen. TÜV SÜD unterstützt KRITIS-Unternehmen, prüft auch auf branchenspezifische Standards und stellt den Nachweis über den „Stand der Technik“ aus. Sobald dieser Prüfbericht vorliegt, können ihn Betreiber mitsamt aller nötigen Formularen beim BSI einreichen.
Betreiber von kritischen Infrastrukturen sind verpflichtet, ihre IT-Systeme optimal zu schützen.
Mehr lesen
