KRITIS-Verordnung und das IT-Sicherheitsgesetz

KRITIS-Verordnung und das IT-Sicherheitsgesetz

Beitrag aktualisiert am 25.08.2022

Zur Themenwelt Informationssicherheit

Kritische Infrastrukturen und das IT-Sicherheitsgesetz

Die Verordnungen zu den Kritischen Infrastrukturen (KRITIS) des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergänzen das seit Juli 2015 gültige IT-Sicherheitsgesetz. Damit unterliegen inzwischen viele Unternehmen besonderen Anforderungen zur IT-Sicherheit. Der Staat will dadurch „unverzichtbare Lebensadern einer modernen, leistungsfähigen Gesellschaft“ besser schützen.

KRITIS: Welche Branchen sind von der Verordnung betroffen?

Zu den Kritischen Infrastrukturen gehören bereits seit einer ersten Verordnung 2016 die Branchen Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung. Ergänzt wurden diese durch die KRITIS-Verordnung im Juni 2017 um die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Zu den KRITIS-Unternehmen gehören seitdem also zum Beispiel auch Apotheken mit einem Absatz von 4,65 Millionen Arzneimittel-Packungen pro Jahr, Krankenhäuser mit über 30.000 stationären Fällen und Flughäfen ab 20 Millionen Passagieren jährlich. 

Die Aktualisierung des IT-Sicherheitsgesetzes ist als das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 bzw. IT-SiG 2.0) im Mai 2021 verabschiedet worden. Ab 1. Mai 2023 gelten die neuen Auflagen. Betreiber Kritischer Infrastrukturen sind ab diesem Datum zum Einsatz von Systemen zur Angriffserkennung verpflichtet.

Neben zahlreichen Überarbeitungen und Ergänzungen im Vergleich zur ersten Gesetzesfassung wurden im verabschiedeten IT-SiG 2.0 als zusätzlicher Sektor die Siedlungsabfallentsorgung und als zusätzliche Klassifikation „Unternehmen im besonderen öffentlichen Interesse“ aufgenommen.

Die KRITIS-Verordnungen definieren grob, welche Unternehmen im Einzelnen an das IT-Sicherheitsgesetz gebunden sind. „Doch ich habe immer wieder Seminarteilnehmer, die sich zum Informationssicherheits-Beauftragten ausbilden lassen und absolut überrascht sind, zu hören, dass ihr Unternehmen als kritisch gilt“, berichtet Tatjana Brozat, Auditorin für Informationssicherheit. Deshalb hilft im Zweifelsfall eine Nachfrage bei den Branchenverbänden oder beim BSI.

ISMS: Prozesse optimieren und neue Risikokultur etablieren

Die Einführung eines ISMS (Information Security Management System) ist für KRITIS-Betreiber eine Möglichkeit, um den neuen Sicherheitsstandards angemessen begegnen zu können. So müssen etwa Bereiche identifiziert werden, in denen Störfälle oder Probleme nicht nur auf das Unternehmen, sondern auch die gesamte Gesellschaft Auswirkungen haben könnten.

Ein ISMS umfasst nicht nur die IT-Sicherheitsarchitektur eines Unternehmens, sondern es geht auch darum, Prozesse eines Unternehmens und Organisationsstrukturen so zu optimieren, dass ein störungsfreies Informationssicherheitsmanagement gewährleistet wird. „Der Schutz Kritischer Infrastrukturen ist eine gesamtgesellschaftliche Aufgabe, die ein abgestimmtes und von allen Verantwortlichen – Staat, Wirtschaft und Öffentlichkeit – unterstütztes Vorgehen erfordert“, so das Bundesinnenministerium. Nicht allein der Staat kann einen vollständigen Schutz der Infrastrukturen gewährleisten, vielmehr müssen alle Seiten ihr Sicherheitsdenken neu definieren und eine neue Risikokultur etablieren. "Ein zentraler Punkt dabei ist eine offene Risikokommunikation zwischen Staat, Unternehmen und der Öffentlichkeit", so Frau Brozat.

KRITIS und das IT-Sicherheitsgesetz: Diese Anforderungen müssen Unternehmen einhalten

Das BSI verpflichtet Betreiber von Kritischen Infrastrukturen, bestimmte Anforderungen zu erfüllen. Hier finden Sie eine Übersicht der zu implementierenden Maßnahmen:

1. Kontaktstelle benennen:

KRITIS-Betreiber müssen eine Kontaktstelle benennen, über die das Unternehmen für das BSI jederzeit erreichbar ist. Geeignet ist ein Funktionspostfach, an das das BSI dann zum Beispiel auch IT-Sicherheitsinformationen schickt.

2. IT-Störungen und Sicherheitsvorfälle melden:

KRITIS-Betreiber sind verpflichtet, außergewöhnliche IT-Störungen und Sicherheitsvorfälle beim BSI zu melden. Die Kontaktperson muss dabei in der Lage sein, entscheiden zu können, welche Vorfälle gravierend und damit meldepflichtig sind.

3. Stand der Technik umsetzen:

Um Störungen der informationstechnischen Systeme zu vermeiden, muss der IT-Sicherheitsstandard in KRITIS-Unternehmen dem „Stand der Technik“ entsprechen. Das BSI empfiehlt dafür die Gründung von Arbeitskreisen, die branchenspezifische Sicherheitsstandards festlegen und damit spezifisch definieren, was unter dem „Stand der Technik“ zu verstehen ist.

4. Präventionsmaßnahmen und Reaktionspläne ausarbeiten:

Für den Fall einer massiven Versorgungsstörung, etwa eines längeren und großflächigen Stromausfalls, müssen Unternehmen geeignete Maßnahmenkataloge erarbeiten, um die Folgen eines solchen Ereignisses möglichst gering zu halten. Betreiber aus den neu benannten KRITIS-Sektoren sollten sich jetzt informieren und aktiv werden“, rät Frau Brozat. „Ich empfehle auch, proaktiv auf das BSI zuzugehen, Fragen zu stellen und online die überarbeiteten Standards des BSI, den sogenannten IT-Grundschutz, einzusehen.“ Dabei sollte das Management der betroffenen Unternehmen die Thematik von Anfang an zur Chefsache machen.

5. Absicherung prüfen lassen:

KRITIS-Betreiber müssen die Etablierung angemessener Vorkehrungen und die Erfüllung der Technikstandards alle zwei Jahre beispielsweise durch Sicherheitsaudits gegenüber dem BSI nachweisen.