Was ist KRITIS?
KRITIS steht als Abkürzung für kritische Infrastrukturen. Damit sind Organisationen und Einrichtungen gemeint, deren Tätigkeit einen essenziellen Beitrag zur Aufrechterhaltung der gewohnten Ordnung in der Gesellschaft leisten. Damit das so bleibt, sind KRITIS-Unternehmen und -Organisationen laut BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) dazu verpflichtet, Maßnahmen zu ergreifen, die dem Schutz der Funktionsfähigkeit dienen.
Welche KRITIS-Sektoren gibt es?
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verteilen sich die KRITIS-Unternehmen auf 10 verschiedene Sektoren. Nicht alle fallen hingegen in den Zuständigkeitsbereich des BSI und sind durch das BSIG abgedeckt.
Sektoren BSIG-regulierter Kritis-Unternehmen
Zu den Sektoren, in denen Unternehmen zu den KRITIS gezählt und durch das BSI-Gesetz reguliert werden, gehören:
- Energie
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit
- Wasser
- Ernährung
- Finanz- und Versicherungswesen
- Siedlungsabfallentsorgung
Sektoren nicht BSIG-regulierter (Kritis-)Unternehmen
Zu den Sektoren, bei denen Organisationen zwar als KRITIS eingestuft werden können, jedoch nicht unter das BSI-Gesetz fallen, zählen:
- Medien und Kultur
- Staat und Verwaltung
Welche Branchen sind von der KRITIS-Verordnung betroffen?
Grundsätzlich ist laut BSI davon auszugehen, dass sämtliche Organisationen und Unternehmen, die in einem der 10 Sektoren tätig sind, zu den kritischen Infrastrukturen gehören. Allerdings gibt es in der BSI-Kritisverordnung Abstufungen. Potenzielle KRITIS-Unternehmen können der Liste entnehmen, ab welchen Schwellenwerten ein Unternehmen in einer bestimmten Branche als zu den kritischen Infrastrukturen zugehörig eingestuft wird.
Welche Anforderungen müssen KRITIS-Unternehmen erfüllen?
Maßgeblich ist das IT-Sicherheitsgesetz (IT-SiG bzw. IT-SiG 2.0). Dieses ist in gewisser Weise eine Fortführung des BSI-Gesetzes. Es schreibt den KRITIS-Betreibern konkrete Maßnahmen vor, die in Bezug auf die IT-Sicherheit in den jeweiligen Unternehmen und Organisationen umgesetzt werden sollen. Durch die Stärkung der IT-Sicherheit in den kritischen Infrastrukturen soll ein Ausfall derselben verhindert werden. Deshalb müssen KRITIS-Betreiber laut IT-Sicherheitsgesetz Folgendes gewährleisten:
Anforderungen
BSI-Kontaktstelle im Unternehmen einrichten und benennen
IT-Störungen sowie erhebliche Beeinträchtigungen sofort melden
IT-Infrastruktur und -Sicherheit immer aktuell halten
Nachweis alle 2 Jahre gegenüber dem BSI, dass alle Anforderungen erfüllt sind
Welche Herausforderungen und Entwicklungen beeinflussen kritische Infrastrukturen?
Angesichts der stetig wachsenden Vernetzung von Produktions- und Lieferketten sowie der zunehmenden Digitalisierung kann der Ausfall kritischer Infrastrukturen nicht nur für einen kurzzeitigen Engpass, sondern für eine regelrechte Kettenreaktion sorgen. Ein besonderes Risiko stellt dabei die IT-Sicherheit dar: Ohne wirksamen Schutz sind die IT-Strukturen der KRITIS Angriffen und Bedrohungen ausgeliefert. Zu den wichtigsten Anforderungen, die an Betreiber kritischer Infrastrukturen gestellt werden, gehört daher den bestmöglichen Schutz der eigenen Cyber-Infrastruktur sicherzustellen.
Welche Schutzkonzepte gibt es für kritische Infrastrukturen?
Um den Anforderungen gerecht zu werden, gibt es eine ganze Reihe von Maßnahmen, die Betreiber kritischer Infrastrukturen nutzen können. Die einzelnen Maßnahmen sollten dabei in ein ganzheitliches IT-Sicherheitskonzept integriert werden. Beispielhafte Maßnahmen sind:
- IT-Risikobewertung bzw. IT-Risikomanagement
- Informationssicherheitsmanagement-System
- Operative Maßnahmen (z. B. Zugangskontrollen, Software-Aktualisierungen, Firewall)
Sie haben Fragen zu KRITIS?
Wir unterstützten Sie gerne mit fundiertem Know-how.
Kontaktformular
ulrich.alt@viridicon.de