KRITIS – Das Wesentliche im Überblick

Was sind Kritische Infrastrukturen (KRITIS)?
Gesetzgebung für KRITIS
Zusätzliche Anforderungen der KRITIS-Verordnung an Betreiber kritischer Infrastrukturen
Unterschied KRITIS-Dachgesetz und BSI-Gesetz
Zuständige Behörden für Kritische Infrastrukturen
Welche Pflichten haben Betreiber kritischer Infrastrukturen?
Meldung von Sicherheitsvorfällen
Aufgaben für KRITIS-Betreiber nach Sicherheitsvorfall
Aufbau einer Notfallplanung
Notfallplanung mit INDART Professional®

Kritische Infrastrukturen sind Organisationen und Einrichtungen von wesentlicher Bedeutung für das staatliche Gemeinwesen, deren Ausfall oder Beeinträchtigung zu Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen gravierenden Konsequenzen führen könnte. 

Betroffen sind mehrere Sektoren, darunter:

1. Energie: Elektrizität, Gas, Öl, Wärmeversorgung.
2. Wasser: Trinkwasserversorgung, Abwasserentsorgung.
3. Ernährung: Produktion, Verarbeitung und Distribution von Lebensmitteln.
4. Informationstechnik und Telekommunikation: Internet, Telefonnetzwerke, Datenzentren.
5. Gesundheit: Krankenhäuser, medizinische Versorgungseinrichtungen, Apotheken.
6. Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen.
7. Transport und Verkehr: Straßen-, Schienen-, Luft- und Schiffsverkehr, Logistik.
8. Medien und Kultur: Rundfunk, Fernsehen, Presse.
9. Staat und Verwaltung: Regierungs- und Verwaltungsbehörden, Notfall- und Rettungsdienste.
10. Entsorgung: Siedlungsabfallentsorgung

Diese Sektoren sind essenziell für das Funktionieren der Gesellschaft und der Wirtschaft. Betreiber und Verantwortliche in diesen Bereichen müssen besondere Sicherheitsvorkehrungen treffen, um Risiken zu minimieren und die Widerstandsfähigkeit gegenüber Störungen zu erhöhen.

Mit der NIS2-Richtlinie werden weitere Sektoren und Unternehmen einbezogen, einschließlich öffentlicher Verwaltungen und digitaler Dienstleister.

Die Gesetzgebung für Kritische Infrastrukturen (KRITIS) in Deutschland basiert auf mehreren zentralen Regelwerken, die darauf abzielen, die Sicherheit und Resilienz dieser essenziellen Systeme zu gewährleisten. Das BSI-Gesetz bildet das Fundament und wurde durch die KRITIS-Verordnung (KRITIS-V) konkretisiert, die Mindestanforderungen an die IT-Sicherheit von Betreibern kritischer Infrastrukturen festlegt. Diese Regelungen umfassen die Implementierung von IT-Sicherheitsmanagementsystemen, die Meldung erheblicher Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie regelmäßige Sicherheitsüberprüfungen und Audits. 

Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird die NIS2-Richtlinie der EU umgesetzt und der gesetzliche Rahmen erweitert und harmonisiert, indem sie strengere Sicherheitsanforderungen und eine erweiterte Meldepflicht einführt sowie mehr Sektoren abdeckt. Parallel dazu wird in Deutschland das KRITIS-Dachgesetz entwickelt, das die nationale Umsetzung der NIS2-Richtlinie unterstützt. Diese neuen gesetzlichen Rahmenbedingungen zielen darauf ab, die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken und die Zusammenarbeit auf europäischer Ebene zu intensivieren.

Die KRITIS-Verordnung (KRITIS-V) ergänzt das BSI-Gesetz, indem sie detaillierte und spezifische Anforderungen an Betreiber kritischer Infrastrukturen stellt, die über die allgemeinen Vorgaben des BSI-Gesetzes hinausgehen. Sie konkretisiert Maßnahmen zur Zugangskontrolle, Netzwerksicherheit, Systemintegrität, Datensicherung und Sicherheitsüberwachung und führt branchenspezifische Vorgaben ein, die die Besonderheiten und Bedrohungsszenarien der jeweiligen Sektoren berücksichtigen. Betreiber müssen ein Informationssicherheitsmanagementsystem (ISMS) nach anerkannten Standards wie ISO/IEC 27001 einführen und dessen Umsetzung durch regelmäßige Audits und Sicherheitsüberprüfungen nachweisen. 

Die KRITIS-V verlangt eine detaillierte Meldung und Dokumentation von IT-Sicherheitsvorfällen sowie regelmäßige Sicherheitsüberprüfungen und Tests, einschließlich Penetrationstests. Zudem betont sie die Notwendigkeit der Zusammenarbeit und des Informationsaustauschs mit dem BSI und anderen relevanten Behörden, um die Prävention und Reaktion auf IT-Sicherheitsvorfälle zu verbessern. Diese Anforderungen sollen die Sicherheit und Resilienz kritischer Infrastrukturen gewährleisten.

Der Unterschied zwischen dem KRITIS-Dachgesetz und dem BSI-Gesetz für kritische Infrastrukturen liegt in ihren spezifischen Anwendungsbereichen und den regulatorischen Schwerpunkten.

Während das KRITIS-Dachgesetz einen umfassenden Ansatz zum Schutz kritischer Infrastrukturen verfolgt und verschiedene Sektoren sowie physische und organisatorische Sicherheitsaspekte abdeckt, konzentriert sich das BSI-Gesetz speziell auf die Informationssicherheit und die Aufgaben des BSI in diesem Bereich. Beide Gesetze ergänzen sich, indem sie unterschiedliche, aber miteinander verknüpfte Aspekte des Schutzes kritischer Infrastrukturen regeln.

In Deutschland sind mehrere Behörden für die Sicherheit und den Schutz kritischer Infrastrukturen (KRITIS) zuständig. Jede Behörde hat spezifische Aufgaben und Zuständigkeiten:

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das BSI ist die zentrale Cybersicherheitsbehörde in Deutschland. Es überwacht die IT-Sicherheit der Kritischen Infrastrukturen und ist verantwortlich für die Entwicklung von Sicherheitsstandards und Richtlinien. Das BSI betreibt das zentrale Meldesystem für IT-Sicherheitsvorfälle und unterstützt Betreiber bei der Umsetzung von Sicherheitsmaßnahmen.

Das BSI führt Risikobewertungen durch, bietet Beratungsdienste an und hat die Befugnis, Inspektionen und Audits durchzuführen.

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)

Das BBK ist zukünftig zuständig für den physischen Schutz kritischer Infrastrukturen und für die Katastrophenvorsorge. Es koordiniert Maßnahmen zur Sicherstellung der Versorgung und zur Wiederherstellung kritischer Infrastrukturen im Falle eines Ausfalls.

Das BBK arbeitet eng mit anderen Behörden und Betreibern zusammen, um Notfallpläne zu entwickeln und Übungen durchzuführen.

Bundesnetzagentur (BNetzA)

Die Bundesnetzagentur ist zuständig für die Regulierung und Überwachung der Netze und Infrastrukturen in den Bereichen Energie, Telekommunikation, Post und Eisenbahnen. Sie gewährleistet die Versorgungssicherheit und überwacht die Einhaltung der gesetzlichen Vorgaben.

Die BNetzA führt Inspektionen und Überprüfungen durch und kann bei Verstößen Sanktionen verhängen. Zudem übernimmt die BNetzA die Aufgabe der Überwachung kritischer Infrastrukturen im Sektor Energie vom BSI.

Bundesministerium des Innern und für Heimat (BMI)

Das BMI koordiniert die Sicherheitsstrategie für kritische Infrastrukturen auf nationaler Ebene und ist zuständig für die Gesetzgebung im Bereich der inneren Sicherheit.

Das BMI arbeitet an der Weiterentwicklung der gesetzlichen Rahmenbedingungen und koordiniert die Zusammenarbeit zwischen den verschiedenen Akteuren im Bereich der Sicherheitsstrategie.

Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)

Die BaFin ist zuständig für die Überwachung und Regulierung des Finanzsektors, einschließlich Banken, Versicherungen und Finanzdienstleistungsunternehmen. Sie stellt sicher, dass diese Einrichtungen über ausreichende Sicherheitsmaßnahmen verfügen, um ihre IT-Systeme und Daten zu schützen.

Das BaFin führt Prüfungen und Kontrollen durch, legt Sicherheitsstandards fest und überwacht Einhaltung der gesetzlichen Vorgaben im Finanzsektor.

Landesbehörden

In den einzelnen Bundesländern gibt es zusätzliche Behörden und Stellen, die für den Schutz und die Sicherheit kritischer Infrastrukturen zuständig sind. Diese Landesbehörden sind verantwortlich für die Umsetzung der nationalen Sicherheitsstandards auf regionaler Ebene.

Die Landesbehörden arbeiten eng mit den Bundesbehörden zusammen und stellen sicher, dass die nationalen Sicherheitsanforderungen regional umgesetzt werden.

Betreiber Kritischer Infrastrukturen (KRITIS) haben nach dem BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) eine Reihe von Pflichten, um die Sicherheit und Funktionsfähigkeit ihrer IT-Systeme zu gewährleisten. Die wichtigsten Pflichten umfassen:

1. IT-Sicherheitsmaßnahmen umsetzen: Betreiber sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um ihre IT-Systeme gegen Bedrohungen zu schützen. Diese Maßnahmen müssen dem Stand der Technik entsprechen und der Bedeutung der betroffenen Infrastrukturen angemessen sein.
2. Meldung erheblicher IT-Sicherheitsvorfälle: Betreiber müssen erhebliche IT-Sicherheitsvorfälle unverzüglich an das BSI melden. Ein erheblicher Vorfall ist ein Sicherheitsvorfall, der die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme oder Daten erheblich beeinträchtigt.
3. Nachweis der Umsetzung von Sicherheitsmaßnahmen: Betreiber müssen regelmäßig nachweisen, dass sie die erforderlichen Sicherheitsmaßnahmen umgesetzt haben. Dies kann durch Sicherheitsüberprüfungen, Prüfungen oder Zertifizierungen erfolgen, die in der Regel durch unabhängige Dritte durchgeführt werden.
4. Mitarbeiterschulung: Betreiber müssen ihre Mitarbeiter regelmäßig schulen und sensibilisieren, um sicherzustellen, dass diese über die notwendigen Kenntnisse und Fähigkeiten zur Erkennung und Abwehr von IT-Sicherheitsbedrohungen verfügen.
5. Sicherheitskonzepte und Notfallpläne erstellen: Betreiber müssen Sicherheitskonzepte und Notfallpläne erstellen und diese regelmäßig überprüfen und aktualisieren. Diese Pläne sollen sicherstellen, dass im Falle eines Sicherheitsvorfalls schnell und effektiv reagiert werden kann, um Schäden zu minimieren.
6. Zusammenarbeit mit dem BSI und anderen Stellen: Betreiber müssen mit dem BSI und gegebenenfalls anderen zuständigen Stellen zusammenarbeiten. Dies umfasst den Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle sowie die Teilnahme an Maßnahmen zur Verbesserung der IT-Sicherheit.
7. Risikomanagement: Betreiber müssen ein systematisches Risikomanagement betreiben, um Bedrohungen zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikominderung zu ergreifen.
8. Dokumentationspflicht: Betreiber müssen die ergriffenen Maßnahmen und deren Umsetzung dokumentieren. Diese Dokumentation muss dem BSI auf Verlangen vorgelegt werden können.
9. Sicherheitsvorfälle untersuchen und analysieren: Betreiber müssen Sicherheitsvorfälle untersuchen und analysieren, um deren Ursachen zu ermitteln und Maßnahmen zur Verhinderung zukünftiger Vorfälle zu ergreifen.
10. Schutz von personenbezogenen Daten: Betreiber müssen sicherstellen, dass personenbezogene Daten, die in ihren IT-Systemen verarbeitet werden, gemäß den geltenden Datenschutzbestimmungen geschützt werden.

Durch die Erfüllung dieser Pflichten sollen die Betreiber dazu beitragen, die Sicherheit und Funktionsfähigkeit Kritischer Infrastrukturen in Deutschland zu gewährleisten und die Bevölkerung sowie die Wirtschaft vor den Auswirkungen von IT-Sicherheitsvorfällen zu schützen.

Die Meldepflicht für Betreiber kritischer Infrastrukturen (KRITIS) ist eine zentrale Maßnahme zur Gewährleistung der Sicherheit und Resilienz dieser essenziellen Sektoren. Betreiber sind verpflichtet, schwerwiegende Sicherheitsvorfälle unverzüglich den zuständigen nationalen Behörden zu melden.

Mit dem NIS2UmsuCG ist eine Verschärfung der Meldepflichten geplant. Die Kabinettsversion verlangt strengere und kürzere Meldefristen, die es den betroffenen Unternehmen und Organisationen vorschreiben, Vorfälle innerhalb von 24 Stunden nach deren Erkennung zu melden. Innerhalb von 72 Stunden muss ein detaillierter Bericht erfolgen, der auch eine erste Bewertung des Sicherheitsvorfalls enthält. Spätestens vier Wochen nach Auftreten des Vorfalls muss ein Abschlussbericht vorgelegt werden. Diese Vorgaben sind jedoch noch nicht beschlossen.

Diese Anpassungen zielen darauf ab, die Reaktionszeiten zu verkürzen und die Zusammenarbeit zwischen den betroffenen Akteuren und den Behörden zu verbessern, um schnellere und effektivere Gegenmaßnahmen gegen Bedrohungen zu ermöglichen.

Meldungen von Sicherheitsvorfällen gehen an die nationale, zentrale Anlaufstelle für Cyber-Sicherheitsvorfälle. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik. Die Meldung erfolgt über das Melde- und Informationsportal (MIP) des BSI. Diese Stelle koordiniert dann weitere Schritte und die Verteilung der Informationen an andere relevante nationale und europäische Institutionen. Auch hier können sich mit dem NIS2UmsuCG noch Änderungen ergeben.

Nachdem die Meldung eines Sicherheitsvorfall erfolgt ist, sind Betreiber kritischer Infrastruktur selbst gefordert, mit dem Sicherheitsvorfall umzugehen. Folgende sinnvolle Schritte sind erforderlich:

Sofortmaßnahmen ergreifen: Maßnahmen zur Schadensbegrenzung und Wiederherstellung der betroffenen Systeme einleiten. Dazu gehört das Isolieren betroffener Bereiche und die Implementierung von Notfallplänen.

Zusammenarbeit mit Behörden: Eng mit den zuständigen Behörden und eventuell anderen relevanten Stellen zusammenarbeiten. Dies kann die Bereitstellung zusätzlicher Informationen und die Unterstützung bei der Vorfallanalyse umfassen.

Dokumentation: Den Vorfall detailliert dokumentieren, einschließlich aller ergriffenen Maßnahmen, der betroffenen Systeme und der festgestellten Schwachstellen.

Analyse und Ursachenforschung: Eine gründliche Analyse durchführen, um die Ursachen des Vorfalls zu identifizieren und sicherzustellen, dass alle Schwachstellen erkannt und behoben werden.

Verbesserung der Sicherheitsmaßnahmen: Basierend auf den Erkenntnissen der Analyse die bestehenden Sicherheitsmaßnahmen und -protokolle überprüfen und gegebenenfalls verbessern.

Schulung und Sensibilisierung: Mitarbeiter über den Vorfall informieren und Schulungen durchführen, um die Sensibilität für Sicherheitsrisiken zu erhöhen und zukünftige Vorfälle zu verhindern.

Störungen, Notfälle oder Krisen durch technisches Versagen, Umwelteinflüsse oder Sabotage können erhebliche finanzielle und zeitliche Verluste nach sich ziehen. Eine Notfallplanung stellt Maßnahmen und Handlungsanweisungen bereit, um in solchen Situationen strukturiert reagieren und den Geschäftsbetrieb aufrecht erhalten zu können.

Eine Notfallplanung bildet komplexe Abhängigkeiten zwischen Infrastruktur, Prozessen und verantwortlichen Mitarbeitenden ab und dokumentiert Wiederanlaufprozeduren, die im Falle eines Vorfalls in Kraft treten. 

Der Aufbau einer Notfallplanung bzw. eines Notfallmanagements ist unerlässlich für kritische Infrastrukturen, um im Falle von Sicherheitsvorfällen schnell und wirksam reagieren zu können.

INDART Professional® vereinfacht, durch eine strukturierte und zielführende Vorgehensweise, den Aufbau und die Pflege einer prozessorientierten, intelligenten Notfallplanung in Echtzeit. 

Die Vorteile unserer Software-Lösung auf einen Blick:

• Abbildung komplexer Abhängigkeiten zwischen Prozessen, IT-Infrastruktur, Anwendungssystemen und verantwortlichen Mitarbeitenden
• Vielfältige Importmöglichkeiten und Anbindung an vorhandene Systeme
• Schnelle Aktivierung von Wiederanlaufprozeduren durch einen Ausfallmanager
• ISO 27001 und BSI-Standard 100-4 konform
• Darstellung relevanter Geschäftsprozesse und des verantwortlichen Personals
• Analyse von Kopfmonopolen sowie fehlender Infrastruktur und Redundanzen
• Erstellung eines individuellen IT-Notfall und IT-Betriebshandbuchs