Kritische Infrastrukturen (KRITIS) KRITIS(ch) betrachtet

Wie „sicher“ ist sicher genug? Das regulatorische Rahmenwerk rund um den Betrieb kritischer Infrastrukturen will diese Frage verbindlich beantworten. Inzwischen nimmt die novellierte KRITIS-Verordnung 2.0 deutsche Unternehmen nach verschärften Vorgaben in die Pflicht.

Anbieter zum Thema

Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen.
Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen.
(© viperagp - stock.adobe.com)

Am 1. Januar 2022 trat die neue KRITIS-Verordnung (KritisV1.5) der Bundesregierung vom 18. August 2021 in Kraft. Das Bundeskabinett konkretisiert darin das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), welches bereits am 28. Mai 2021 Gesetzeskraft erlangte, und erweitert den Wirkungsgrad des BSIG (Bundessicherheitsgesetzes).

Betreiber „kritischer Infrastrukturen“ hatten schon zuvor besondere regulatorische Vorgaben einzuhalten. Das IT-SiG 2.0 hat ihnen neue Pflichten auferlegt und dem Staat erweiterte Befugnisse zugestanden.

Im Wirbelsturm der KRITIS-Regulierung

Mit der novellierten KRITIS-Verordnung kommen auf Betroffene unter anderem deutlich höhere Strafen zu. Sie könnten bis zu 20 Millionen Euro aus der Bilanz wegwischen – die Begeisterung darüber hält sich verständlicherweise in Grenzen.

In den Anwendungsbereich der Regulierung fallen dann auch wesentlich mehr Firmen als zuvor. Im Jahre 2021 waren es bundesweit etwa 1.600 Organisationen; inzwischen sollten es ca. 1.870 sein. Die betroffenen Unternehmen müssen das Erreichen der KRITIS-Schwellenwerte selbst erkennen und die erforderlichen Schritte rechtzeitig einleiten. Eine Vorwarnung bekommen sie nicht und die Übergangsfrist ist weggefallen.

Auf EU-Ebene sollen in den kommenden Wochen noch die EU-Direktiven NIS2 (Network and Information Security Directive) und EU RCE (Directive on the resilience of critical entities) Gültigkeit erlangen und ihre Vorgänger EU NIS und ECI (European Critical Infrastructures) ablösen. Doch sie finden in Deutschland keine direkte Anwendung. Sie müssen erst noch in nationales Recht der Mitgliedsstaaten einfließen.

In der Zwischenzeit setzt sich der regulatorische Rahmen für deutsche KRITIS-Betreiber hauptsächlich aus dem IT-SiG 2.0 und der KRITIS-Verordnung 2.0 zusammen. Auch damit haben die Verantwortlichen in Unternehmen ohnehin bereits beide Hände voll zu tun.

Die „kritische Masse“

Sektoren- und Brancheneinteilung Kritischer Infrastrukturen: Die beiden Sektoren Staat und Verwaltung sowie Medien und Kultur unterliegen nicht den gesetzlichen Verpflichtungen aus BSI-Gesetz und BSI-KRITIS-Verordnung.
Sektoren- und Brancheneinteilung Kritischer Infrastrukturen: Die beiden Sektoren Staat und Verwaltung sowie Medien und Kultur unterliegen nicht den gesetzlichen Verpflichtungen aus BSI-Gesetz und BSI-KRITIS-Verordnung.
(Bild: BSI)

Betreiber kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz sind all jene Unternehmen und Organisationen, die bei der Versorgung der Bevölkerung eine kritische Rolle spielen und sich dabei auf digitale Infrastrukturen, also „Anlagen“ stützen. Als „Anlagen“ gelten nun nicht nur Maschinen und Geräte im weitesten Sinne, sondern auch „Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“.

Für verschiedene Wirtschaftssektoren – Informationstechnik, Telekommunikation, Energie, Wasser, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr – gelten genaue Schwellenwerte, so zum Beispiel:

  • das Transportvolumen,
  • die Produktionsmenge,
  • die produzierte Energie.

Die Novelle der KRITIS-Verordnung in der Version 2.0 hat die einzelnen zahlenmäßigen Bemessungspunkte herabgesetzt. Die Schwellenwerte zielen darauf ab, jene Unternehmen ausfindig zu machen, die mehr als eine halbe Million Menschen versorgen.

Betroffene Unternehmen müssen bereits ab dem ersten Werktag, an dem sie die Schwellenwerte erreichen, unter Androhung von Bußgeldern sämtliche Anforderungen erfüllen – eine Vorabankündigung bekommen sie nicht. Der Wegfall der Übergangsfrist dürfte den einen oder anderen Neuzugang unter den KRITIS-Betreibern kalt erwischen.

Der aktuelle regulatorische Rahmen für den sicheren Betrieb kritischer Infrastrukturen in Deutschland hat bereits einen langen Werdegang hinter sich.
Der aktuelle regulatorische Rahmen für den sicheren Betrieb kritischer Infrastrukturen in Deutschland hat bereits einen langen Werdegang hinter sich.
(Bild: OpenKritis/Insignals GmbH)

Betreiber kritischer Infrastrukturen müssen KRITIS-Anlagen im eigenen Betrieb identifizieren. Dafür hatten sie Zeit bis Ende März auf Basis der Vorjahreszahlen. Des Weiteren müssen sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle mit Rund-um-die-Uhr-Verfügbarkeit, sieben Tage die Woche, für das Amt einrichten.

Weitere erforderliche Maßnahmen umfassen die Einhaltung von Mindestsicherheitsstandards, also unter anderem Sicherheitsmaßnahmen im Bereich der Angriffsfrüherkennung wie IDS (Intrusion Detection Systems) und SIEM (Security Information and Event Management), aber auch SOC (Security Operation Center) und CSIRT (Computer Security Incident Response Services), des Weiteren auch organisatorische Vorkehrungen zur Vermeidung von Cyberrisiken (Stichwort BCMS und ISMS) sowie der Einsatz fortschrittlicher Technologien zur Cyber-Verteidigung der IT und OT. Besondere Sicherheitsanforderungen betreffen die sogenannten kritischen Komponenten kritischer Infrastrukturen (siehe weiter unten).

Informations- und Meldepflichten gegenüber dem BSI umfassen unter anderem die Auflistung aller IT-Produkte, die für die Funktionalität der kritischen Infrastrukturen wichtig sind, sowie die Meldung von Störungen. Das IT-Sicherheitsgesetz 2.0 (BSIG) erfasst nun auch Unternehmen, die nicht KRITIS-Betreiber sind, jedoch besonderem öffentlichen Interesse dienen. Auch diese Organisationen müssen sich beim BSI registrieren und einen für das BSI zuständigen Ansprechpartner benennen. Außerdem sind sie verpflichtet, mindestens alle zwei Jahren ab Verkündung des Gesetzes gegenüber dem BSI eine Selbsterklärung über Zertifizierungen, Sicherheitsaudits und Prüfungen sowie die Sicherung der besonders schützenswerten IT-Systeme, Komponenten und Prozesse abgeben.

Lieferketten unter Kontrolle: Kritische Komponenten genehmigungspflichtig

Europäische Gesetzgebung, welche den Betrieb kritischer Infrastrukturen regeln soll, findet indirekt Anwendung: Sie bedarf der Umsetzung in nationales Recht.
Europäische Gesetzgebung, welche den Betrieb kritischer Infrastrukturen regeln soll, findet indirekt Anwendung: Sie bedarf der Umsetzung in nationales Recht.
(Bild: OpenKritis/Insignals GmbH)

Der neue regulatorische Rahmen trägt unter anderem der Tatsache Rechnung, dass sich Cyber-Bedrohungen entlang von Versorgungsketten von Lieferanten zu Abnehmern propagieren können (Supply Chain Attacks).

Das neue regulatorische Rahmenwerk sieht besondere Auflagen in Bezug auf kritische Komponenten vor. Gemeint sind hiermit IT-Produkte, die in den kritischen Infrastrukturen zum Einsatz kommen und für deren Funktionsweise von Relevanz sind (da sie Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der kritischen Infrastruktur sicherstellen) und entweder auf der Basis eines Gesetzes als kritische Komponenten klassifiziert werden oder eine kritische Funktion in einem KRITIS-Unternehmen erfüllen.

Die Einsatzabsicht kritischer Komponenten bedarf einer vorherigen Anzeige beim Bundesministerium des Innern und für Heimat (BMI), einer Zertifizierung und einer Garantieerklärung des Anbieters. Die Garantieerklärung muss die ganze Lieferkette des Herstellers abdecken. Schließlich kann das BMI sowohl den erstmaligen als auch den weiteren Einsatz von kritischen Komponenten durch den Betreiber kritischer Infrastrukturen verweigern, sollte es eine Beeinträchtigung der öffentlichen Sicherheit und Ordnung feststellen. Eine Beeinträchtigung liegt dann vor, wenn der Hersteller z.B. von der Regierung eines Drittstaates kontrolliert werde oder die Verpflichtungen der Garantieerklärung nicht einhalte.

Dies schafft für die betroffenen Unternehmen, die auf kritische Komponenten aus Drittstaaten vertrauen, eine erhebliche Unsicherheit – in vielen Fällen ohne die Möglichkeit, auf alternative Versorgungsquellen kritischer Komponenten auszuweichen.

„Wir sind auf hochmoderne, in Asien hergestellte Chips angewiesen“, so EU-Präsidentin Ursula von der Leyen.
„Wir sind auf hochmoderne, in Asien hergestellte Chips angewiesen“, so EU-Präsidentin Ursula von der Leyen.
(Bild: Europäische Kommission)

„Während die weltweite Nachfrage explodiert ist, ist der Anteil Europas an der gesamten Wertschöpfungskette, vom Design bis zur Fertigungskapazität, geschrumpft,“ so EU-Präsidentin Ursula von der Leyen in ihrer Rede „State of the European Union“ am 15. September 2021.

Die erfolgreiche Digitalisierung der deutschen Wirtschaft treibt die Abhängigkeit von Anbietern wie der taiwanischen TSMC oder der südkoreanischen Samsung auf bisher ungekannte Höhen. Die Halbleiter-Produktion findet derzeit fast ausschließlich in Südostasien statt. Die überwiegende Mehrheit führender Chip-Anbieter im Westen hat längst keinerlei eigene Fertigungsstätte mehr (Stichwort: „fabless“ in Anspielung an das Wort „fabulous“), sondern bloß Patente auf Chip-Designs. Kostenreduktion als die überragende Zielsetzung hat es vollbracht.

„Wir sind auf hochmoderne, in Asien hergestellte Chips angewiesen“, so von der Leyen.

Ein schleichendes Aufkommen von Produktions- und Lieferengpässen macht sich bereits seit Monaten bemerkbar und doch vermochte es keine grundlegenden Änderungen an der Versorgung der Wirtschaft mit kritischen Komponenten herbeizuführen, ganz im Gegenteil. Der Aufbau neuer Kapazitäten bedarf massiver Investitionen, byzantinischer Behördengänge und des Ausreitens des Amtsschimmels.

Inzwischen wächst die technologische Kluft weiter. Mit ihr nimmt die Abhängigkeit der KRITIS-Betreiber von fremden Anbietern zur Versorgung mit kritischen Komponenten zu. Jene Unternehmen können sich dem regulatorischen Regime der EU ungeschoren entziehen. Versorgungsprobleme und der akute Mangel an „sicheren“ Alternativen fallen ausschließlich den KRITIS-Betreibern zu Lasten.

European Chips Act

„Europa kann und wird nicht hinterherhinken“, so EU-Präsidentin Ursula von der Leyen. Dies sei nicht nur eine Frage der Wettbewerbsfähigkeit, sondern „auch eine Frage der technologischen Souveränität“. Die Lösung? Die Europäische Kommission hat dem EU-Parlament einen legislativen Vorschlag für einen European Chips Act vorgelegt.

Die Kommission hat auch schon mit der Gründung der beiden Initiativen „Alliance for Processors and Semiconductor technologies“ und „European Alliance for Industrial Data, Edge and Cloud“ erste Schritte unternommen.

Die Mitgliedstaaten würden auch bereits nationale Strategien entwickeln, um ihre Industrie- und Produktionskapazitäten auf eigenem Grund und Boden strategisch auszubauen und die eigene Abhängigkeit zu verringern, so Thierry Breton, EU-Kommissar für Interne Märkte. KRITIS-Betreiber hoffen sicherlich, in diesen Prozess (stärker) mit einbezogen zu werden.

Fazit

Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen.

Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48134244)