Der zweite Versuch – die neue BSI-KRITIS-Verordnung wurde wieder geändert

Auch wenn es einem wie ein Déjà-vu vorkommen mag, es ist die zweite Änderungsverordnung in einem Jahr: Am 18. August durch das Bundeskabinett beschlossen, wurde sie Anfang September veröffentlicht

Das Jahr 2021 war für das BSI bisher offenbar sehr intensiv. Über das neue IT-Sicherheitsgesetz 2.0 hatten wir bereits in unserem Mai-Newsletter berichtet. Mit dem Gesetz wurden viele neue KRITIS-Betreiber gesetzlich verpflichtet, wegen der niedrigen Schwellenwerte viele neue Anforderungen zu erfüllen. Über diese wurde und wird intensiv diskutiert – verschiedene Gremien haben sich zudem beim Bundeumweltministerium gemeldet und Widerspruch eingelegt.

Mit der neuen Verordnung will das BSI Energieanlagen entgegengekommen

Änderungen gibt es nicht nur bei den Schwellwerten – die Definition der Anlagen selbst wurde erweitert: Im Sinne der Verordnung gehören jetzt zusätzlich auch „Software und IT-Dienste, die für die Einbringung einer kritischen Dienstleistung notwendig sind.“ dazu.
Sind mehrere einzelne Anlagen in einem betriebstechnischen Zusammenhang verbunden, zählen sie nun zusammen als eine Anlage.

Stromerzeugung

Für Erzeugungsanlagen gelten ab jetzt drei unterschiedliche Schwellenwerte, je nach Rolle der jeweiligen Anlage. So sind als Schwarzstartanlage kontrahierte Anlagen unabhängig von ihrer Größe KRITIS-pflichtig. Für Anlagen zur Erbringung von Primärregelleistung gelten 36 MW und für alle anderen Anlagen 104 MW installierte Nettonennleistung.

Dadurch reduziert sich die Anzahl neuer Anlagen in diesem Sektor im Gegensatz zum ersten Entwurf von 270 auf ca. 150.

Öl, Gas, IT, Transport – ein kurzer Überblick

Die neue KRITIS-Verordnung betrifft auch andere Sektoren. Im Bereich Öl und Gas wurde z.B. der Handel neu als Kritische Infrastruktur definiert.

Im Sektor Informationstechnik und Telekommunikation wurden die Schwellenwerte für Rechenzentren und Clouddienste deutlich gesenkt, auch Betreiber von Internetknoten sind zukünftig ab einer Anzahl von 100 angeschlossener autonomer Systeme nachweispflichtig.

Serverfarmen gelten auch als KRITIS, wenn die Anzahl der für die Nutzer betriebenen physischen Instanzen 10.000 erreicht (bei virtuellen Instanzen 15.000). Außerdem wurden im Transportsektor einige neue Kategorien eingeführt und Schwellenwerte gesenkt.

Die neue Verordnung tritt ab 1. Januar 2022 in Kraft und fordert alle neuen KRITIS-Betreiber dazu auf, die eigenen Sicherheitssysteme an die Normforderungen anzupassen und ausgewählte Sicherheitsmaßnahmen beim BSI nachzuweisen.

Fragen zur KRITIS-Prüfung Beantwortet Ihnen gern unser Informationssicherheitsmanagement-Team: Andreas Lemke und Bozena Jakubowska.

Zurück