KRITIS - was bedeutet das für uns?

KRITIS – Ist mein Unternehmen betroffen und was heißt das?

Früher konnte jeder Betreiber selber festlegen, ob er eine kritische Dienstleistung erbringt oder nicht. Mit der KRITIS-Verordnung (PDF) und dem IT-Sicherheitsgesetz wird versucht, eine einheitliche Basis zu schaffen, um

  1. einen Überblick über die aktuelle Lage von kritischen Infrastrukturen zu bekommen,
  2. schnell auf Probleme reagieren zu können,
  3. xie Cyber-Sicherheitsstrategie des Bundes zu unterstützen und
  4. die NIS-Richtlinie zu erfüllen.

Was eine kritische Infrastruktur ist, wird vom BMI (Bundesministerium des Inneren) festgelegt und über Kriterien mit dem KRITIS-V-Gesetz geregelt.

Die IT in diesem Fall wird über das IT-Sicherheitsgesetz unter der Schirmherrschaft des BSI abgedeckt.

Ist mein Unternehmen betroffen?

Das ist oft nicht leicht zu beantworten. So ergeben sich zum Beispiel Fragen wie

  • Welcher Sektor und welche Branche ist relevant?

Sektoren

Branchen

Energie

  • Elektrizität
  • Mineralöl
  • Gas

Gesundheit

  • medizinische Versorgung
  • Arzneimittel und Impfstoffe
  • Labore

Staat und Verwaltung

  • Regierung und Verwaltung
  • Parlament
  • Justizeinrichtungen
  • Notfall-/Rettungswesen einschließlich Katastrophenschutz

Ernährung

  • Ernährungswirtschaft
  • Lebensmittelhandel

Transport und Verkehr

  • Luftfahrt
  • Seeschifffahrt
  • Binnenschifffahrt
  • Schienenverkehr
  • Straßenverkehr
  • Logistik

Finanz- und Versicherungswesen

  • Banken
  • Börsen
  • Versicherungen
  • Finanzdienstleister

Informationstechnik und Telekommunikation

  • Telekommunikation
  • Informationstechnik

Medien und Kultur

  • Rundfunk (Fernsehen und Radio)
  • gedruckte und elektronische Presse
  • Kulturgut
  • symbolträchtige Bauwerke

Wasser

  • öffentliche Wasserversorgung
  • öffentliche Abwasserbeseitigung

 

  • Werden die definierten Schwellwerte (z.B. 500.000 Einwohner, die beliefert werden) überschritten?
  • Wird eine kritische Infrastruktur als Dienstleister beliefert?

Wenn man betroffen ist – was heißt das jetzt konkret?

Sollte man betroffen oder unschlüssig sein, muss man sich beim BSI als Betreiber einer kritischen Infrastruktur registrieren. Dort wird nochmals überprüft, ob das zutrifft. Falls dem so ist, unterliegt man der Meldepflicht, sprich es müssen alle schwerwiegenden sicherheitsrelevanten Vorfälle (z.B. Systemausfälle), die die kritische Infrastruktur betreffen, umgehend über ein spezielles Meldeformular gemeldet werden. Die Meldepflicht gilt seit dem Inkrafttreten der BSI-KRITIS-Verordnung am 3. Mai 2016. Die Schwachstelle ist dann nach dem Stand der Technik zu beheben.

Ebenfalls zu implementieren ist eine Kontrollstelle, die als Ansprechpartner für das BSI fungieren soll (24/7).

Die Nachweispflicht besteht alle 2 Jahre, d.h. alle 2 Jahre muss eine Überprüfung durch eine geeignete Prüfungsstelle (§8) stattfinden, erstmalig im Mai 2018 (2 Jahre nach Inkrafttreten des Gesetzes). Das Ergebnis muss gemeldet werden und bei Auffälligkeiten kann das BSI einen Bericht verlangen.

Die Prüfung kann auf Basis mehrerer Standards bzw. Leitfäden (z.B. B3S, OH B3S, …) erfolgen, die je nach Sektor oder Branche unterschiedlich ausgeprägt sein können.

Kurzübersicht BSI:

Quelle: BSI

Hinführung des BSI

https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/Was_tun/was_tun_node.html

Wo finde ich weitere Informationen?

Sehen Sie immer mal wieder auf unserer Seite vorbei. Bzgl. KRITIS ist noch alles im Aufbau und wir versuchen, immer die aktuellen Gegebenheiten zu veröffentlichen. Für weitere Rückfragen stehen wir Ihnen gerne zur Verfügung.

Unser Experte: Dr. Klaus-Dieter Krause, Klaus.D.Krause@compliance-net.com