Schutz Kritischer Infrastrukturen

Allgemeine Informationen

Die rasant fortschreitende Digitalisierung erfasst immer mehr Lebensbereiche und produziert immer größere Datenmengen („Big Data“). Aber zunehmende Digitalisierung bedeutet auch mehr Risiken und verursacht einen erhöhten Sicherheitsbedarf. Staat und Wirtschaft müssen gemeinsam dafür sorgen, dass die immer komplexeren Systeme vor Missbrauch und unbefugtem Zugriff, vor Manipulation und vor Ausspähung geschützt werden. Eine sichere digitale Infrastruktur und der Schutz vor Cyberkriminalität sind entscheidende Faktoren sowohl für die Wettbewerbsfähigkeit unserer Wirtschaft als auch für die Freiheit des Einzelnen im Netz.

Was sind Kritische Infrastrukturen?

Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Rechtsgrundlagen

BSI-Gesetz

Den Grundstein zur Stärkung der IT-Sicherheit und Bekämpfung von damit im Zusammenhang stehenden neuen Bedrohungen bildet das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSI-Gesetz), das seit dem 20. August 2009 gilt. Hierdurch ergeben sich für das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitreichende Befugnisse und Aufgaben. Für bestimmte Unternehmen der KRITIS-Sektoren führt das BSI-Gesetz zu besonderen Verpflichtungen.

IT-Sicherheitsgesetz

Mit dem Inkrafttreten des „Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz – IT-SiG) am 25. Juli 2015 sind vom Bundesgesetzgeber erstmalig gesetzliche Regelungen für die Sicherheit informationstechnischer Anlagen für Betreiber Kritischer Infrastrukturen festgelegt worden. Mit dem IT-SiG hat der Bund das seit 2009 bestehende BSI-Gesetz umfangreich ergänzt und den inhaltlichen Fokus auf die Betreiber Kritischer Infrastrukturen gelegt. Hierin sind unter anderem verbindliche Mindestanforderungen an die Sicherheit informationstechnischer Systeme, Komponenten oder Prozesse sowie die Verpflichtung zur Meldung erheblicher Störungen der Informationstechnik Kritischer Infrastrukturen geregelt.

Ausgehend von dem sehr unterschiedlichen IT-Sicherheitsniveau bei den KRITIS-Betreibern sowie der volkswirtschaftlichen und sicherheitspolitischen Bedeutung der KRITIS-Sektoren verfolgt das IT-Sicherheitsgesetz im Kern folgende Ziele:

  • Signifikante Verbesserung des IT-Sicherheitsniveaus in Deutschland; dabei sollen insbesondere die informationstechnischen Systeme im Hinblick auf die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit verbessert werden,
    verstärkter Schutz der Bürgerinnen und Bürger im Internet,
  • Stärkung des BSI und des Bundeskriminalamtes.

Am 28. Mai 2021 ist das neue IT-SiG 2.0 in Kraft getreten. Dies enthält im Wesentlichen folgende Neuerungen zur Stärkung der Cyber-Sicherheit:

  • Ausweitung der Aufgaben und Befugnisse des BSI: Das BSI erhält verstärkte Aufsichts- und Durchsetzungsbefugnisse gegenüber den KRITIS-Betreibern, insbesondere durch Maßnahmen zur Prävention, Detektion und Reaktion von IT-Bedrohungen.
  • Erweiterung der Verpflichtungen für Betreiber Kritischer Infrastrukturen
  • Stärkung des Verbraucherschutzes: Erhöhung der Sicherheit für Unternehmen durch Erweiterung des betreffenden Kreises; nun sind auch weitere Unternehmen im besonderen öffentlichen Interesse (zum Beispiel Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) sowie ein weiterer Sektor Siedlungsabfallentsorgung von dem Gesetz erfasst.
  • Erhöhung der IT-Sicherheitsanforderungen der Mobilfunknetze
  • Festschreibung der kritischen Komponenten
  • Einführung eines einheitlichen IT-Sicherheitskennzeichens
  • Verschärfung der Bußgelder

Mehr Informationen über das IT-SiG finden Sie unter den nachfolgenden Links:

BSI-KritisV

Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) enthält Kriterien und Schwellenwerte, anhand derer die Betreiber selbst zu prüfen haben, ob sie vom Gesetz betroffen sind. Die BSI-KritisV ist am 3. Mai 2016 in Kraft getreten und enthielt Regelungen zu den KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung.

Mit Inkrafttreten der Ersten Verordnung zur Änderung der BSI-Kritisverordnung am 30. Juni 2017 wurden die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr ergänzt.
Die beiden Sektoren Staat und Verwaltung sowie Medien und Kultur sind nicht von den gesetzlichen Verpflichtungen aus dem BSI-Gesetz und der BSI-Kritisverordnung betroffen.

Durch die Aufnahme des Sektors Siedlungsabfallentsorgung im IT-SiG 2.0 kam ein weiterer KRITIS-Sektor hinzu.

Ausgehend von einem Schwellenwert von 500.000 zu versorgenden Personen wird die zu erbringende Dienstleistung nach anlagen- und verbrauchsspezifischen Kriterien berechnet. Die betroffenen Unternehmen sind verpflichtet, sich beim BSI als Kritische Infrastrukturen zu registrieren und eine Kontaktstelle zu benennen. Auch die zuständigen Aufsichtsbehörden der Länder sind um Benennung einer Kontaktstelle gebeten worden, damit das BSI relevante Informationen (Warnmeldungen und Lageinformationen) zukommen lassen kann.

NIS-Richtlinien-Umsetzungsgesetz

Seit Juli 2016 gilt die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) zur Erhöhung des Cyber-Sicherheitsniveaus auf europäischer Ebene, um einen einheitlichen Rechtsrahmen zu schaffen und zur Stärkung der Zusammenarbeit zwischen den Mitgliedstaaten der Europäischen Union. Diese Richtlinie musste von den Mitgliedstaaten bis Mai 2018 in nationales Recht umgesetzt worden sein.

Mit dem seit 2015 gültigen IT-Sicherheitsgesetz hat Deutschland bereits weitreichende Teile der NIS-Richtlinie erfüllt. Im Juni 2017 ist das NIS-Richtlinien-Umsetzungsgesetz zur Überführung der NIS-Richtlinie in nationales Recht in Kraft getreten. Gegenwärtig wird an der Umsetzung der NIS2-Richtlinie gearbeitet.

Strategie und Konzepte

KRITIS-Strategie

Die „Nationale Strategie zum Schutz Kritischer Infrastrukturen“ legt die Zielvorstellungen und den politisch-strategischen Ansatz des Bundes für den Schutz Kritischer Infrastrukturen dar. In der KRITIS-Strategie werden sowohl Gefährdungen und Risiken als auch strategische Ziele und Beziehungen zwischen den für die Sicherheit Kritischer Infrastrukturen bedeutenden Akteuren beschrieben. Enthalten sind außerdem Verfahren zur Umsetzung und Erreichung der dargelegten Ziele. Weitere Informationen über die KRITIS-Strategie finden Sie unter nachfolgendem Link:

Cyber-Sicherheitsstrategie

Mit der im Februar 2011 von der Bundesregierung beschlossenen „Cyber-Sicherheitsstrategie für Deutschland“ wurde ein fundamentaler Grundstein für eine zukunftsgerichtete Cyber-Sicherheitspolitik gelegt. Sie enthält strategische Ziele und Maßnahmen, von denen zahlreiche seither umgesetzt worden sind.

Durch Schaffung eines Cyber-Sicherheitsrates an der Schaltstelle von Politik und Wirtschaft für strategische Impulse und des Nationalen-Cyberabwehrzentrums, zu dessen Kernaufgabe insbesondere der strategische und operative Informationsaustausch zwischen den Behörden zählt, wurde ein signifikanter Beitrag zur IT-Sicherheit geleistet. Die „Cyber-Sicherheitsstrategie für Deutschland 2016“, die im November 2016 beschlossen wurde, schreibt die Strategie aus 2011 fort unter Einbeziehung der Länder und Wirtschaft. Aufgrund der sich stetig ändernden Rahmenbedingungen und der steigenden Komplexität der Thematik Cyber-Sicherheit ist es erforderlich, die Ziele und Maßnahmen regelmäßig zu evaluieren. Unter Fortschreibung und Ergänzung ist dies mit der Cyber-Sicherheitsstrategie aus 2016 erfolgt, bei der die Ziele und Maßnahmen in vier Handlungsfelder gegliedert wurde.

Am 8. Semptember 2021 wurde die “Cybersicherheitsstrategie für Deutschland 2021” vom Bundeskabinett beschlossen und legt einen Handlungsrahmen zur Stärkung der Cybersicherheit für die nächsten fünf Jahre fest. Im Fokus der Strategie stehen Staat, Gesellschaft, Wirtschaft und EU sowie Internationales. Für die vier Schwerpunkte der Strategie wurden 44 Ziele beschrieben. Unter anderem soll das BSI zu einer dritten Säule, neben dem BKA und dem Bundesamt für Verfassungsschutz, einer föderal integrierten Cybersicherheitsarchitektur weiterentwickelt werden. Zur Erreichung eines Höchstmaßes an digitaler Souveränität wird ein besonderes Augenmerk auf die Bereiche Wissenschaft und Technologieentwicklung gelegt. Weitere Informationen finden Sie unter nachfolgendem Link:

Umsetzungsplan KRITIS (UP-Kritis)

Der Umsetzungsplan KRITIS, der seit Februar 2014 gilt, hat den Umsetzungsplan KRITIS aus dem Jahr 2007 abgelöst und ist eine öffentlich-private Partnerschaft zum Schutz Kritischer Infrastrukturen. Er enthält Grundlagen, Ziele und Maßnahmen auf kooperativer Ebene zum Schutz informationstechnischer Strukturen in digitaler, aber auch in physischer Hinsicht.