KRITIS: Strengere Auflagen und neue Anforderungen

Schärfere Auflagen und höhere Strafen, KRITIS-light, die Anzeige neuer Systeme und neue EU-Vorgaben fordern KRITIS-Betreiber in Sachen Regulierung heraus.

Zum Jahresanfang trat die neue KRITIS-Verordnung in Kraft, die infolge der Neufassung des IT-Sicherheitsgesetzes entstanden ist. Hierin wurden die zahlreichen von KRITIS-Betreibern zu erfüllenden Auflagen weiter verschärft. So müssen sich die betroffenen Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle benennen, die rund um die Uhr sieben Tage die Woche verfügbar ist. Sie müssen KRITIS-Anlagen im eigenen Betrieb identifizieren und für deren kritische Komponenten besondere Maßnahmen umsetzen. Auch Software und IT-Dienstleistungen, die für die Erbringung einer kritischen Dienstleistung notwendig sind, können als Anlagen gewertet werden.

Hinzu kommen Informations- und Meldepflichten gegenüber dem BSI. Dazu zählt die Auflistung aller IT-Produkte, die für die Funktionalität der kritischen Infrastrukturen wichtig sind. Für diese Systeme müssen Vorkehrungen zur Einhaltung von Sicherheitsmindeststandards ergriffen werden. Bei Verstößen gegen die Auflagen können Bußgelder verhängt werden. Seit der Novellierung kommen auf betroffene Unternehmen deutlich höhere Strafen zu, die jetzt bis zu 20 Millionen Euro betragen können.

 

KRITIS-light und NIS2 als neue Herausforderungen

Vom IT-Sicherheitsgesetz 2.0 sind auch Unternehmen betroffen, die nicht klassische KRITIS-Anbieter sind, jedoch im besonderen öffentlichen Interesse stehen. Dazu zählen unter anderem Rüstungshersteller sowie „Unternehmen von erheblicher volkswirtschaftlicher Bedeutung“, worunter vorrangig größere Konzerne zu verstehen sind. Auch diese Organisationen müssen sich beim BSI registrieren lassen und einen zuständigen Ansprechpartner benennen. Außerdem sind sie verpflichtet, mindestens alle zwei Jahren gegenüber dem BSI eine Selbsterklärung über den Stand der Sicherheit ihrer Systeme abzugeben. Dabei können Zertifizierungen oder Audits zum Tragen kommen.
Ansonsten sind die Vorgaben jedoch nicht so streng wie bei KRITIS-Betreibern, daher werden sie häufig als KRITIS-light bezeichnet.

Neuerdings müssen KRITIS-Betreiber vor dem Einsatz neuer Komponenten in kritischen Systemen diese beim Bundesministeriums des Innern (BMI) melden und eine Zertifizierung sowie eine Garantieerklärung des Anbieters vorlegen. Diese Garantieerklärung muss die ganze Lieferkette des Herstellers abdecken. Das BMI kann den Einsatz dieser Komponenten verweigern, sollte es eine Beeinträchtigung der öffentlichen Sicherheit feststellen. Eine Beeinträchtigung kann dann vorliegen, wenn der Hersteller beispielsweise von der Regierung eines Drittstaates kontrolliert wird. Dieser als „Lex-Huawei“ bezeichnete Passus kam nach der Debatte um 5G-Komponenten dieses Herstellers und eventuelle Zugriffsmöglichkeiten der chinesischen Regierung hinzu.

Während noch längst nicht alle Betroffenen die aktuellen KRITIS-Anforderungen umgesetzt haben, erscheinen am Horizont bereits neue Herausforderungen. Auf EU-Ebene stehen mit NIS2 (Network and Information Security Directive) und EU RCE (Directive on the resilience of critical entities) Novellierung der bisherigen Direktiven NIS und ECI (European Critical Infrastructures) ins Haus. Es wird erwartet, dass daraus auch für den KRITIS-Sektor strengere Anforderungen an die IT-Security entstehen. Doch bevor diese Regelwerke in Deutschland zur Geltung kommen, müssen sie in nationales Recht umgesetzt werden.

Viele weitere Einzelheiten finden sich auf den Seiten der OpenKRITIS-Plattform.

Autor: Uwe Sievers