KRITISCHE INFRASTRUKTUR (KRITIS) 33 DSD 2 | 2023 Die Strategie fordert dazu auf, Risiken im Vorfeld von Störungen zu erkennen, deren Folgen durch Notfallmanagement und Redundanzen so gering wie möglich zu halten und laufend fortgeschriebene Gefährdungsanalysen sowie Analysen von Störfällen zur Verbesserung der Schutzstandards zu nutzen. Die Nationale KRITIS-Strategie hat der Staat durch Gesetzgebung, Sicherheitskonzepte und Leitfäden umgesetzt. Ziel des IT-Sicherheitsgesetzes 2015 (IT-Sicherheitsgesetz 1.0) war die Erhöhung der Sicherheit informationstechnischer Systeme, insbesondere im KRITIS-Bereich. Das IT-Sicherheitsgesetz 2.0 aus dem Jahr 2021 erweitert die KRITIS-Regulierung mit mehr Pflichten für KRITIS-Betreiber und mehr Befugnissen für das BSI. Im Koalitionsvertrag 2021 hat die Ampelkoalition angekündigt, den physischen Schutz Kritischer Infrastrukturen in einem KRITIS-Dachgesetz zu bündeln. ImNovember 2022 hat die Bundesinnenministerin Eckpunkte für dieses Gesetz vorgestellt. Zum ersten Mal soll das Gesamtsystem zum physischen Schutz Kritischer Infrastrukturen gesetzlich geregelt werden. Dazu gehört auch der Schutz vor möglichen Gefahren, die von Herstellern von kritischen Komponenten in KRITIS ausgehen. Auf der Grundlage des Gesetzes sollen wertvolle Erkenntnisse zur Lage in den einzelnen KRITIS-Sektoren in einem umfassenden Lagebild gewonnen werden. Und die Zusammenarbeit der am Schutz Kritischer Infrastrukturen beteiligten Akteure auf staatlicher Seite und bei den Betreibern soll klar strukturiert werden. Die Resilienz des Gesamtsystems KRITIS wird durch einheitliche Mindestvorgaben für Resilienzmaßnahmen in allen Sektoren gestärkt. Die Auswirkungen auf das Gesamtsystem KRITIS muss beim physischen Schutz Kritischer Infrastrukturen im Vordergrund stehen. Nach einer Pressemitteilung des BMI vom 21. Oktober hat ein Gemeinsamer Koordinierungsstab der Bundesregierung zum Schutz Kritischer Infrastrukturen (GEKKIS) auf Staatssekretärsebene seine Arbeit aufgenommen. Er soll auf politischer Ebene die aktuellen Lagebilder zur Verfügung stellen und einen strukturierten Austausch der Ressorts ermöglichen. Im Rahmen der Nationalen Strategie hat die Bundesregierung schon 2007 einen Leitfaden für Unternehmen und Behörden zum Risiko- und Krisenmanagement für den Schutz von KRITIS erarbeitet und 2011 fortgeschrieben, im Jahr 2014 eine Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft entwickelt sowie ein Rahmenkonzept Notstromversorgung erarbeitet, das vom BBK laufend aktualisiert wird. Betreiberpflichten Gemäß § 8b Abs. 3 sind Betreiber von KRITIS verpflichtet, sich beim BSI zu registrieren und eine jederzeit erreichbare Kontaktstelle zu benennen. Nach Abs. 4 haben die Betreiber von KRITIS in dieser Norm definierte Störungen der informationstechnischen Systeme, Komponenten und Prozesse in der im Einzelnen festgelegten Form zu melden. Die KRITIS-Verordnung bestimmt in den §§ 1–7 die Anlagenkategorien und Schwellenwerte zur Abgrenzung in den einzelnen Kategorien und beschreibt in den Anlagen 1–4 Anlagenkategorien und Schwellenwerte in den Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation. Die KRITIS-VO2021 (Kritis 2.0) senkt einige Schwellenwerte und verschärft Auflagen für die Betreiber. Etabliert wird eine neue Meldepflicht für sogenannte „Kritische Komponenten“. Sie müssen vor der Nutzung dem BMI angezeigt werden und dürfen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers eingesetzt werden, deren Einhaltung das BSI überwacht. Das BSI wird zu einer nationalen Behörde für Cybersicherheitszertifizierung. Im September 2022 hat das BSI eine neue Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA) veröffentlicht. Sie liefert Anhaltspunkte für die Anforderungen an Betreiber von KRITIS sowie prüfende Stellen. Die SzA (Intrusion Detection) basiert auf Algorithmen, die anhand von Log-Dateien Angriffe auf Server oder Netzwerke erkennen. Die Betreiber müssen die Log-Dateien auswerten. Die Bündelung verschiedener Sicherheitssysteme und deren einheitliche Steuerungmithilfe von Integrationsplattformen erhöht die Resilienz Kritischer Infrastrukturen. Zu den notwendigen Präventionsmaßnahmen gehört ein detailliertes Business Continuity Planning. Als zentrale Meldestelle hat das BSI die für die Abwehr von Gefahren für die IT-Sicherheit wesentlichen Informationen zu sammeln und auszuwerten, potenzielle Auswirkungen auf die Verfügbarkeit von KRITIS zu analysieren, ein entsprechendes Lagebild kontinuierlich zu aktualisieren und unverzüglich die KRITIS-Betreiber über sie betreffende Informationen zu unterrichten. Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue KRITIS-VO 2021 auch die KRITIS-Anlagen und Schwellenwerte. Die KRITIS-VO senkt Schwellenwerte bestehender KRITIS-Anlagen, fügt neue Anlagen hinzu und benennt weitere um. Das IT-Sicherheitsgesetz 2.0 legt mehr vorsätzliche oder fahrlässige Verstöße gegen KRITIS-Vorgaben als Ordnungswidrigkeiten fest und definiert deutlich höhere Bußgelder bis zu 2 Mio. Euro, bei juristischen Personen bis zu 20 Mio. Euro. Das IT-Sicherheitsgesetz 2.0 gilt auch für „Unternehmen im besonderen öffentlichen Interesse“. Das sind Unternehmen der Rüstungsindustrie, Unternehmen von besonderer volkswirtschaftlicher Bedeutung und Unternehmen, die der Störfall-VO unterliegen.
RkJQdWJsaXNoZXIy Mjc4MQ==