Startseite > Security > Neuerungen für Kritis-Betreiber

Kritis-Verordnung 2.0

Neuerungen für Kritis-Betreiber

11. Februar 2022, 7:00 Uhr | Helmut Semmelmayer/wg

Die Kritis-Verordnung hat einige Veränderungen erfahren.

Nicht nur die digitale Bedrohungslage verschärft sich stetig, auch der Gesetzgeber schraubt beim Thema Informationssicherheit laufend an strengeren Vorgaben. So hat die deutsche Bundesregierung 2021 aktualisierte Versionen des IT-Sicherheitsgesetzes und der Kritis-Verordnung verabschiedet. Durch dieses Update, das auch als „Kritis 2.0“ bekannt ist, steigen die Anforderungen an die Betreiber kritischer Infrastrukturen weiter.

Hektische Fehlersuche, ein gestresstes Umfeld und etliche Überstunden: Eine IT-Störung ist niemals ein Grund zur Freude. Doch es gibt Organisationen, bei denen ein Ausfall der Systeme besonders gravierende Folgen hätte, beispielsweise Strom- und Wasserwerke oder Krankenhäuser, die für die Versorgung von Patientinnen und Patienten auf digitale Akten und Geräte angewiesen sind. Angesichts der enormen gesellschaftlichen Bedeutung dieser kritischen Infrastrukturen (Kritis) müssen deren Betreiber seit 2016 Schutzmaßnahmen nach dem aktuellen Stand der Technik nachweisen.

Kritis-Branchen dürfen zu diesem Zweck eigene branchen-spezifische Sicherheitsstandards (B3S) entwickeln. Segnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Standard ab, ist er für zwei Jahre gültig. Als Orientierungshilfe veröffentlicht das BSI eine ausführliche Liste vorgesehener Schutzmaßnahmen, die von der Netzwerksegmentierung über zentrales Patch-Management bis hin zur Verschlüsselung von Daten, Datenträgern und E-Mail-Verkehr reichen. Die neue Kritis-Verordnung, die am 1.1.2022 in Kraft getreten ist, bringt nicht nur zusätzliche Sicherheitsmaßnahmen mit sich, sondern erweitert auch den Geltungsbereich des Gesetzes: Mit der Abfallentsorgung kommt ein neuer Sektor hinzu, zudem ändern sich einige Schwellenwerte, etwa in den Bereichen Energie, Finanz und Transport.

Eine Sonderrolle nehmen künftig Unternehmen im besonderen öffentlichen Interesse ein, die zwar Störfälle melden müssen, aber keinen verpflichtenden Sicherheitsstandards unterliegen. Stattdessen gibt sich der Staat hier mit einer Selbsterklärung zur IT-Sicherheit alle zwei Jahre zufrieden. Welche Unternehmen in diese neue Kategorie fallen, soll eine noch ausstehende Rechtsverordnung klären. Ob langjähriger Kritis-Betrieb oder kurz vor der Registrierung: Durch die Gesetzesänderung ergeben sich für Unternehmen und IT-Verantwortliche zusätzliche Herausforderungen.

Neuerung 1: Kontakt mit dem BSI

Das IT-Sicherheitsgesetz 2.0 stattet das BSI als nationale Cybersicherheitsbehörde mit umfangreichen Kompetenzen aus. Dazu zählt auch eine stärkere Rolle bei der Beseitigung von Störungen. Wie bisher müssen Unternehmen dem Bundesamt sämtliche Vorfälle melden, die die öffentliche Versorgung erheblich beinträchtigen (könnten). Dazu müssen Kritis-Betreiber eine Kontaktstelle einrichten, die nicht nur Meldung an das BSI erstattet, sondern auch rund um die Uhr in der Lage ist, Updates zu neuen Bedrohungen zu empfangen.

Anders als bisher sind Unternehmen nun außerdem verpflichtet, dem BSI auf Anfrage sämtliche Informationen zur Verfügung zu stellen, die der Beseitigung einer Störung dienen können. Die Zusammenarbeit bei der raschen Wiederherstellung gewinnt also an Bedeutung. So hat der Gesetzgeber die Bußgelder in diesem Bereich empfindlich verschärft: Bei mangelnder Mitwirkung bei der Störungsbeseitigung erwartet Unternehmen eine Strafzahlung von bis zu einer halben Million Euro. Wer sogar Anordnungen zur Wiederherstellung zuwiderhandelt, muss mit bis zu zwei Millionen Euro Strafe rechnen.

Eine weitere Verschärfung ist die Kürzung der Fristen für die erstmalige Registrierung von Kritis-Betrieben. Organisationen, die einen der festgelegten Grenzwerte überschreiten, müssen sich nicht mehr im Folgejahr, sondern schon am folgenden Tag beim BSI melden. Daraus leitet sich auch die Verpflichtung ab, die relevanten Zahlen (zum Beispiel Fahrgäste, Finanztransaktionen, stationäre Patienten) laufend zu beobachten. Kommen Betriebe der Registrierung nicht nach, kann das BSI sie eigenständig als kritische Infrastruktur benennen und Einblick in die entsprechende Statistik verlangen.