Kritische Infrastrukturen (KRITIS) sind auf eine funktionierende IT angewiesen. Zum Schutz kritischer Infrastrukturen wurde deshalb von staatlicher Seite das BSI-Gesetz (BSIG) geändert. Demnach sind Betreiber kritischer Infrastrukturen dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen und diese mindestens alle zwei Jahre nachzuweisen (§8a BSIG Nachweis).
Wir informieren Sie in unserem zweiteiligen Beitrag über die Anforderungen an die KRITIS-Betreiber und die verschiedenen Möglichkeiten zum Nachweis der Umsetzung dieser Anforderungen. Zunächst klären wir, wer eigentlich unter die KRITIS-Betreiber fällt und wie die Anforderungen erfüllt werden können.
Wer ist KRITIS-Betreiber?
Unter die Rubrik „Betreiber Kritischer Infrastrukturen (KRITIS)“ fallen die folgenden Sektoren und Branchen:
- Energie (Strom, Gas, Öl und Wärme): Stadtwerke, Kraftwerke, Stromnetze, Gasförderung, Gasnetze
- Ernährung: Nahrungsmittelherstellung, Lager, Verteilung
- Finanz- und Versicherungswesen: Banken, Versicherungen, Finanzdienstleister, Börsen
- Gesundheit: Krankenhäuser, Krankentransport, Arztpraxen, Apotheken
- Informationstechnik und Telekommunikation (IT, Telekommunikation und Internet): Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber
- Medien und Kultur: Zeitungen, Rundfunk, Fernsehen, Medien
- Staat und Verwaltung (Bundes-, Landes- und Kommunalverwaltung): Ministerien, Sicherheitsbehörden
- Transport und Verkehr: Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstraßen, Bahnbetreiber, Bahnnetze, öffentlicher Verkehr
- Wasser: Wasserversorgung, Wasserwerke, Wassernetze
Zu beachten sind jedoch pro Branche individuell festgelegte Schwellwerte, diese sind in der BSI-Kritisverordnung aufgeführt.
Beispiel:
Die Apfelmeister GmbH stellt pro Jahr 355 Millionen l Apfelsaft her. Da die Produktionsmenge den Schwellenwert (350 Millionen l) erreicht bzw. übersteigt, fällt die Apfelmeister GmbH unter das IT-Sicherheitsgesetz und gilt somit als kritische Infrastruktur bzw. KRITIS-Betreiber.
Welche Anforderungen muss ein KRITIS-Betreiber erfüllen?
Der KRITIS-Betreiber muss seine kritische Dienstleistung durch angemessene organisatorische und technische Maßnahmen vor Störungen schützen. Insbesondere müssen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse, welche direkt oder indirekt die kritische Dienstleistung betreffen, vermieden werden. Dabei muss er den Stand der Technik berücksichtigen. Außerdem muss der KRITIS-Betreiber eine Kontaktstelle zum BSI einrichten, welche jederzeit erreichbar ist und somit zeitnah aufgetretene Störungen an das BSI melden kann.
Des Weiteren muss der KRITIS-Betreiber alle zwei Jahre dem BSI gegenüber einen Prüfungsnachweis über die Angemessenheit der getroffenen Maßnahmen darlegen.
Wie kann der KRITIS-Betreiber die Anforderungen erfüllen?
Die datenschutz cert GmbH empfiehlt:
- Definieren Sie den Geltungsbereich (Scope) Ihrer kritischen Dienstleistung.
- Benennen Sie die geforderte Kontaktstelle und definieren Sie einen Prozess zur Meldung von Sicherheitsvorfällen.
- Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS), um die Anforderungen aus §8a BSIG auf strukturierte Art und Weise gemäß dem Stand der Technik umzusetzen.
- Nutzen Sie anerkannte Standards für Ihr ISMS – wenn kein B3S vorliegt, nutzen sie z.B. ISO/IEC 27001.
Erfahren Sie im zweiten Teil, wie eine §8a BSIG-Prüfung ablaufen kann und was Sie über die Prüfungsnachweise wissen müssen.
Weitere Informationen zum Thema finden Sie auch auf unserer Themenseite §8a BSIG-Prüfung für KRITIS-Betreiber und im Blog „datenschutz notizen“ unter https://www.datenschutz-notizen.de/tag/kritis/.
Autor: Dr. Sönke Maseberg