Kritische Infrastruktur

Lösungen für das Compliancemanagement von KRITIS Organisationen

Kritische Infrastruktur stellt besonders hohe Anforderungen an die IT-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Kritische Infrastrukturen (KRITIS) als „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“.

Organisationen, die einem der aktuell 7 Sektoren Energie, Wasser, Ernährung, Gesundheit, Transport und Verkehr, IT und Telekommunikation oder Finanzen und Versicherungen angehören und – je nach Sektor individuell definierte – Schwellenwerte überschreiben, sind daher durch das IT-Sicherheitsgesetz verpflichtet, ein Informationssicherheitmanagementsystem (ISMS) nach ISO 27001 einzuführen und aufrechtzuerhalten.

Mit der Novelle des IT-Sicherheitsgesetzes vom 28.05.2021 ist mit „Entsorgung“ ein weiterer Sektor hinzugekommen.

Fordern Sie unsere Whitepaper an

In unseren Whitepapern rund um die Themen KRITIS, IT-Sicherheitsgesetz und alle hier relevanten Neuerungen erhalten Sie nicht nur einen Überblick über die Thematik und die Anforderungen an Ihre Organisation, sondern bleiben auch auf dem neusten Stand bezüglich aller Änderungen und Entwicklungen.

Finanz- und Versicherungswesen

Seit 2017 umfasst das IT-Sicherheitsgesetz auch den Sektor Finanz- und Versicherungswesen.

  • Insbesondere im Finanz- und Versicherungswesen drohen aufgrund der sehr hohen Sensibilität der verwalteten (Kunden-)Daten nicht nur finanzielle, sondern auch enorme Reputationsrisiken

  • KRITIS-relevant sind bspw. Anbieter in der Bargeldversorgung, im Zahlungsverkehr oder im Wertpapierhandel

  • Für gesetzliche Kranken- und Pflegeversicherer existiert der branchenspezifische Standard B3S-GKV/PV

Energie

Unternehmen der Energiewirtschaft erbringen Dienstleistungen, die von großer gesellschaftlicher Relevanz sind – ab 500.000 versorgten Personen sind sie daher KRITIS.

  • KRITIS können Unternehmen im Strom-, Gas-, Kraftstoff- und Fernwärmebereich sein, die die Allgemeinheit mit Energie versorgen

  • Die Schwellenwerte werden sich voraussichtlich mit der KRITIS-Verordnung 2.0 deutlich verändern

  • Diverse Angriffe auf Energieversorger in jüngster Vergangenheit unterstreichen die Notwendigkeit eines grundsoliden ISMS

Gesundheit

Nicht zuletzt die Corona-Pandemie hat verdeutlicht, warum die zunehmenden Angriffe auf Krankenhäuser – bspw. durch Cryptotrojaner – eine existentielle Bedrohung darstellen können.

  • Neben der stationären medizinischen Versorgung sind u.A. auch Unternehmen der Versorgung mit Medizinprodukten und Labore mögliche KRITIS

  • I.d.R. wird der KRITIS-Status ab 500.000 versorgten Personen erreicht

  • Auch der Transport von bspw. Proben zur Analyse in medizinischen Laboren ist möglicherweise KRITIS-relevant

Informationstechnik und Telekommunikation.

Für Unternehmen in der IT- und Telekommunikationsbranche bedeutet ein digitaler Angriff fast immer auch einen Angriff auf ihre direkte Substanz.

  • Fast ein Drittel des Umsatz des ITK-Sektors in Deutschland werden in KRITIS Organisationen erwirtschaftet

  • Die umsatzstärksten Dienstleistungen sind hier die Telekommunikation gefolgt vom Hosting / dem Betrieb für Dritte

  • In den B3S findet sich hierzu ein branchenspezifischer Standard

Transport und Verkehr

Als zunehmend hochvernetzte Sparte ist auch das Transport- und Verkehrswesen im Besonderen für digitale Bedrohungen anfällig geworden

  • Mögliche KRITIS sind Unternehmen sowohl des Passagier- als auch des Frachtverkehrs

  • Mit der KRITIS-Verordnung 2.0 wird eine deutliche Veränderung von sowohl Definitionen als auch Schwellenwerten erwartet

  • Neben tatsächlich befördernden Betrieben sind auch vielfältige Dienstleistungen in der Abfertigung, Verkehrssteuerung und Logistik mögliche KRITIS

Neu: Abfallwirtschaft

Im IT-Sicherheitsgesetz 2.0 vom 28. Mai 2021 ist die Abfallwirtschaft als neuer KRITIS-Sektor hinzugekommen.

  • Betroffen sind Unternehmen, die Siedlungsabfälle sammeln, beseitigen und verwerten

  • Voraussichtlich greift auch hier der Schwellenwert i.H.v. 500.000 versorgten Personen

  • Anlagen und Schwellenwerte müssen noch in einer gesonderten Verordnung definiert werden

Wasser

Auch Unternehmen der Wasserwirtschaft sind durch ihre zunehmende Vernetzung und Remote-Steuerung immer häufiger von Cyberangriffen betroffen.

  • KRITIS können sowohl Unternehmen der Trinkwasserversorgung als auch Unternehmen in der Abwasserentsorgung sein

  • Als KRITIS-Betreiber gelten i.d.R. Unternehmen ab der Versorgung von 500.000 Personen

  • Voraussichtlich umfasst die KRITIS-Verordnung 2.0 auch Betreiber von Stauanlagen

Ernährung

Nicht nur die Herstellung von Lebensmitteln ist Teil der kritischen Infrastruktur, sondern auch Infrastruktur zur ihrer Distribution und ihrem Transport.

  • Betroffen sind bspw. auch Fuhrparkbetreiber oder Betreiber von Warenwirtschaftssystemen

  • Hersteller alkoholischer Getränke sind i.d.R. keine KRITIS-Betreiber

  • Auch hier greift die übliche Definition, dass Betreiber ab 500.000 versorgten Personen zur KRITIS werden

Neu: Öffentliches Interesse (UNBÖFI)

Mit dem IT-Sicherheitsgesetz 2.0 gehören seit 2021 auch „Unternehmen im besonderen öffentlichen Interesse“ (UNBÖFI) zu den regulierten Organisationen.

  • Betroffen sind Unternehmen in den Bereichen Rüstung und Gefahrstoffe sowie Unternehmen mit erheblicher volkswirtschaftlicher Bedeutung

  • Die neuen Cyber Security Verpflichtungen gelten für diese Unternehmen ab 2023

  • Unternehmen mit besonderem öffentlichen Interesse müssen sich selbstständig identifizieren und beim BSI registrieren