Die jüngere Vergangenheit hat der Öffentlichkeit die Bedeutung der kritischen Infrastruktur vor Augen geführt. Sowohl die IT- als auch die physische Infrastruktur unterliegen strengen Regelungen, die laufend überarbeitet werden. Für betroffene Unternehmen ist die Gesetzeslage oft schwer durchschaubar. Dieser Überblick soll Orientierung geben.
Angriffe auf die kritische Infrastruktur sind längst keine abstrakten Szenarien mehr, sondern völlig real. Sabotageakte der jüngeren Vergangenheit belegen das. Man denke an die Angriffe auf das Schienennetz der Deutschen Bahn oder auf die Gaspipelines des Projekts Nord Stream. Der russische Krieg gegen die Ukraine und die daraus resultierende Energiekrise hat das Bewusstsein für die Verletzlichkeit des Systems noch einmal verschärft.
Als Folge hat das Bundeskabinett Ende vergangenen Jahres ein Gesetz zum Schutz kritischer Infrastrukturen (KRITIS) auf den Weg gebracht. Betreiber kritischer Infrastrukturen, ob öffentlich oder privat, sichern die Grundlage moderner Gesellschaften. Beispiele sind die Stromversorgung, die Versorgung mit IT-Dienstleistungen, Trinkwasser, Lebensmitteln, Finanzmitteln oder die Bereitstellung von Verkehrswegen wie Flughäfen und Häfen, wichtigen Bahnhöfen oder zentrale Straßen.
KRITIS-Dachgesetz ergänzt IT-Sicherheitsgesetz 2.0
Das sogenannte KRITIS-Dachgesetz soll nun das IT-Sicherheitsgesetz 2.0 aus dem Jahr 2021 ergänzen, das den Schutz kritischer IT-Infrastrukturen unter Federführung des Bundesamts für Sicherheit in der Informationstechnik (BSI) regelt. Erstmals bringt Deutschland nun auch eine bundeseinheitliche Regelung zum physischen Schutz kritischer Infrastrukturen auf den Weg. So sollen nun auch Mindeststandards für die Errichtung von Zäunen, die Anschaffung von Detektionsgeräten oder Zugangskontrollen festgelegt werden. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) soll in diesem Zuge zur übergeordneten KRITIS-Behörde umgebaut werden.
Eine echte Neuerung bringt das Gesetz dadurch, dass es erstmals Vorgaben und Strukturen zum Schutz der KRITIS sektorübergreifend regelt. Der Bund will unter anderem verpflichtende Risikobewertungen, Mindeststandards für Betreiber und ein zentrales Störungs-Monitoring einführen. KRITIS-Betreiber müssen künftig mehr Schutzmaßnahmen ergreifen und höhere Standards einhalten, kündigte Bundesinnenministerin Nancy Faeser an. „Systeme müssen besser gegen Ausfälle geschützt sein. Wir brauchen stärkere Rückfallebenen und Backup-Systeme, um weniger vulnerabel zu sein“, so Faeser bei der Vorstellung der Eckpunkte im vergangenen Dezember.
Im Überblick: Worum geht es bei dem IT-Sicherheitsgesetz 2.0?
Zusammenfassend handelt es sich beim IT-Sicherheitsgesetz 2.0 (IT-SiG. 2.0) um eine Erweiterung der deutschen KRITIS-Verordnung von 2015, die darauf abzielt, die Cyber-Sicherheit durch einheitliche Umsetzung von Sicherheitsmaßnahmen zu erhöhen. Mit Neuerungen wie der Gesetzesgrundlage für Netzwerk- und Informationssysteme (NIS 2) und Remote Code Execution (RCE) werden bereits erste Schritte in Richtung Verbesserung der IT-Sicherheit unternommen.
Anschaulich zusammengefasst finden Sie die aktuelle Bedrohungslage der kritischen Infrastruktur in Deutschland im Artikel der Tagesschau.
Neue Gesetzgebung soll Klarheit darüber bringen, was wirklich zu KRITIS gehört
Das Gesetz regelt nicht nur den Umgang mit Sabotageakten, sondern auch mit Naturkatastrophen, Terrorismus, menschlichem Versagen und anderen Gefahrenquellen. Das Dachgesetz ist auch nötig, um Klarheit in der Frage zu schaffen, was kritische Infrastrukturen sind und was nicht. Denn bislang gab es zwei Definitionen. Der Bund zählte offiziell zehn Sektoren zur KRITIS, das BSI nur acht, weil es die Sektoren Medien und Kultur nicht berücksichtigte. Laut Dachgesetz soll es nach aktuellem Stand (Februar 2023) künftig mindestens elf KRITIS-Sektoren geben: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, Öffentliche Verwaltung, Weltraum sowie die Produktion, Verarbeitung und Vertrieb von Lebensmitteln.
Im Bereich der kritischen IT-Sicherheitsstrukturen hatte das besagte IT-Sicherheitsgesetz 2.0 bereits vor zwei Jahren erweiterte Sicherheitsanforderungen festgelegt. Manche davon treten erst in diesem Jahr in Kraft. Darunter sind Vorkehrungen, die Bedrohungen automatisiert mittels Mustern identifizieren und bekämpfen. Außerdem wurden Meldepflichten und Befugnisse ausgedehnt. KRITIS-Betreiber müssen gravierende Störungen demnach dem BSI melden und Informationen zur Beseitigung des Problems zur Verfügung stellen.
Folgende Änderungen durch das IT-Sicherheitsgesetz sind für die Betreiber von KRITIS wesentlich:
- Sie müssen Mindestsicherheitsstandards beachten. Beispielsweise schreibt Paragraf 8a des Gesetzes den Einsatz von Intrusion-Detection-Systemen vor.
- Sie müssen Sicherheitsanforderungen für kritische Komponenten einhalten.
- Sie müssen Informations- und Meldepflichten gegenüber dem BSI beachten. Unter anderem müssen sie alle IT-Produkte auflisten, die für die Funktionalität kritischer Infrastrukturen wichtig sind, und Störungen melden.
Darüber hinaus hat der Gesetzgeber mit dem IT-Sicherheitsgesetz 2.0 den Adressatenkreis der KRITIS-Anforderungen erweitert. Neu dabei ist neben den oben genannten Sektoren nun der Sektor Entsorgung – betroffen sind also noch mehr kommunale Unternehmen als bisher! Derzeit ist der Gesetzgeber noch dabei, konkrete Schwellenwerte für diesen Sektor zu definieren. Diese Werte legen fest, ab wann ein Entsorgungsunternehmen zu KRITIS gehört. Im Laufe dieses Jahres soll die Erweiterung dann in Kraft treten.
Außerdem umfasst die Gesetzgebung mit dem IT-Sicherheitsgesetz 2.0 auch sogenannte Unternehmen im besonderen öffentlichen Interesse. Dazu gehören Rüstungsunternehmen, Chemieunternehmen und die größten Unternehmen Deutschlands. Sie gelten zwar nicht als KRITIS-Betreiber, unterliegen aber speziellen Vorgaben:
- Sie müssen sich beim BSI registrieren und einen Ansprechpartner benennen.
- Sie müssen gegenüber dem BSI mindestens alle zwei Jahre ab Verkündung des Gesetzes eine Selbsterklärung über Zertifizierungen, Sicherheitsaudits und Prüfungen sowie die Sicherung der besonders schützenswerten IT-Systeme, Komponenten und Prozesse abgeben.
Wer die Standards nicht erfüllt, muss mit hohen Strafen rechnen
Alle Betreiber von kritischen Infrastrukturen sollten sich dringend über die KRITIS-Anforderungen informieren, wenn sie es nicht schon längst getan haben. Nicht zuletzt gilt das aufgrund der Tatsache, dass sich Anforderungen und Adressatenkreis im Zuge des noch nicht verabschiedeten KRITIS-Dachgesetzes im Fluss befinden und auch Regelungen aus dem IT-Sicherheitsgesetz 2.0 erst in den kommenden Monaten in Kraft treten. Vor allem aber drohen gravierende Sanktionen, wenn KRITIS-Betreiber die Standards verletzen.
Denn während sie früher noch eine Übergangsfrist zur Umsetzung der Anforderungen hatten, müssen sie die Standards nun ab dem ersten Werktag erfüllen. Konkret heißt das: Ab dem ersten Tag nach Inkrafttreten des IT-Sicherheitsgesetz 2.0 und der Zweiten KRITIS-Verordnung müssen die potenziellen Betreiber kritischer Infrastrukturen die Anforderungen des IT-Sicherheitsgesetzes erfüllen. Halten sie die Anforderungen nicht ein, kann es teuer werden. Möglich sind Bußgelder von bis zu 20 Millionen Euro. Unternehmen, die sich nicht sicher sind, ob sie zum Adressatenkreis gehören, sollten sich Expertenrat holen, um kostspielige Strafverfahren zu vermeiden.
Gemeinsam stark gegen aktuelle und zukünftige Bedrohungen
Wir von der HÄUSLER KG beraten Sie gemeinsam mit den führenden Experten und Technologiepartnern, was sie wirkungsvoll gegen die allgegenwärtige Bedrohungslage unternehmen können. Dazu arbeiten wir mit einem großen Ökosystem von Branchenexperten zusammen, die uns kontinuierlich in Themen wie Managed Detection & Response (MDR), Cyber Defense, Trendanalysen, Threat Hunting, Bedrohungsanalysen etc. unterstützen.