KRITIS (Kritische Infrastrukturen)
Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen verursachen würde. In Deutschland durch BSI-KritisV in 10 Sektoren reguliert.
KRITIS steht für Kritische Infrastrukturen - Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen für das Gemeinwesen hätte. In Deutschland wird der Begriff gesetzlich durch das BSI-Gesetz (BSIG) und die BSI-Kritisverordnung (BSI-KritisV) definiert und reguliert.
Definition und rechtlicher Rahmen
Der KRITIS-Begriff in Deutschland basiert auf zwei Rechtsgrundlagen:
- § 2 Absatz 10 BSIG: Gesetzliche Definition kritischer Infrastrukturen
- BSI-KritisV: Konkretisiert die Schwellenwerte - welche Unternehmen als KRITIS gelten
- § 8a BSIG: Kernpflichten für KRITIS-Betreiber (Stand der Technik, Meldepflicht, Nachweis)
Die 10 KRITIS-Sektoren in Deutschland
Die BSI-KritisV teilt kritische Infrastrukturen in 10 Sektoren auf:
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Gas, Mineralöl, Fernwärme |
| Wasser | Trinkwasserversorgung, Abwasserbeseitigung |
| Ernährung | Lebensmittelproduktion, -verarbeitung, -handel |
| Informationstechnik und Telekommunikation | Telekommunikationsnetze, Rechenzentren, DNS |
| Gesundheit | Krankenhäuser, Labore, Arzneimittel, Medizinprodukte |
| Finanz- und Versicherungswesen | Banken, Börsen, Versicherungen, Zahlungsverkehr |
| Transport und Verkehr | Schiene, Straße, Schiff, Luft, Logistik |
| Medien und Kultur | Rundfunk, öffentliche Kommunikationsnetze |
| Siedlungsabfallentsorgung | Abfallentsorgung und -behandlung |
| Staat und Verwaltung | Parlament, Regierung, Justiz, Notfallversorgung |
Schwellenwerte der BSI-KritisV
Ein Unternehmen gilt als KRITIS-Betreiber, wenn es Dienstleistungen für mindestens 500.000 versorgte Personen erbringt oder bestimmte sektorspezifische Schwellenwerte überschreitet. Beispiele:
- Energie: Stromerzeugung ab 420 MW installierter Leistung; Gasversorgungsnetze ab 1.400 GWh/Jahr
- Wasser: Trinkwasserversorgung ab 22 Mio. m³/Jahr; Abwasser ab 500.000 angeschlossene Einwohner
- Gesundheit: Krankenhäuser ab 30.000 vollstationäre Fälle/Jahr; Labore ab 1,5 Mio. Untersuchungen/Jahr
- Finanz: Börsen- und Clearingstellen; Zahlungsabwickler ab 6 Mrd. EUR Transaktionsvolumen/Jahr
Über die Erfüllung der Schwellenwerte müssen sich Betreiber selbst gegenüber dem BSI registrieren.
§8a BSIG: Pflichten für KRITIS-Betreiber
KRITIS-Betreiber unterliegen nach §8a BSIG verschärften Pflichten:
- Stand der Technik: Angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz der Informationssysteme - BSI IT-Grundschutz ist die Referenz
- Nachweis alle 2 Jahre: Sicherheitsaudits, Prüfungen oder Zertifizierungen, deren Ergebnisse dem BSI vorgelegt werden müssen
- Meldepflicht: Erhebliche Störungen der IT-Systeme müssen unverzüglich an das BSI gemeldet werden
- BSI-Kontaktstelle: Benennung einer Ansprechperson für das BSI (24/7 erreichbar)
KRITIS-DachG: Neuere Entwicklung
Das KRITIS-Dachgesetz (KRITIS-DachG) erweitert den Schutz kritischer Anlagen um physische Sicherheitsmaßnahmen und führt einen sektorübergreifenden Ansatz ein. Es ergänzt die rein IKT-fokussierte Regulierung des BSIG um physische Resilienzanforderungen (Zutrittskontrollen, Perimetersicherung, Redundanzen). Das KRITIS-DachG setzt die EU-Richtlinie CER (Critical Entities Resilience) in deutsches Recht um.
Verhältnis zu NIS-2
NIS-2 und KRITIS ergänzen sich: NIS-2 definiert einen breiteren Geltungsbereich (18 Sektoren, ab 50 Mitarbeitenden), während KRITIS nur für die kritischsten Betreiber ab hohen Schwellenwerten gilt. KRITIS-Betreiber sind automatisch von NIS-2 als wesentliche Einrichtungen erfasst und unterliegen damit den verschärften NIS-2-Anforderungen (höhere Bußgelder, persönliche Haftung der Geschäftsleitung, kürzere Meldefristen).
Ein ISO-27001-zertifiziertes ISMS nach BSI IT-Grundschutz ist die empfohlene Grundlage für KRITIS-Compliance - es erfüllt gleichzeitig die §8a BSIG-Nachweispflicht und die wesentlichen NIS-2-Anforderungen.
