agsdi-hamburger-menu
agsdi-hamburger-menu
M

KRITIS 2.0 – Q-SOFT klärt auf.  

Wie werden kritische Infrastrukturen definiert? Was ist in der IT-Sicherheit für kritische Infrastrukturen zu beachten? Was ist neu im IT-SiG 2.0?

Mit dem Gesetzesentwurf für das IT-Sicherheitsgesetzt 2.0 (IT-SiG 2.0), der nach der Rechtsordnung § 10 Absatz 1 BSI-KristisV kritische Infrastrukturen (KRITIS) näher bestimmt, ist nun auch der Sektor Entsorgung betroffen. 

Was ist KRITIS?

Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das bedeutet also, dass Kritische Dienstleistungen für die Bevölkerung wichtige, teils lebenswichtige Güter und Dienstleistungen sind. Bei einer Beeinträchtigung dieser kritischen Dienstleistungen würden erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder vergleichbare dramatische Folgen eintreten. KRITIS ist aufgeteilt in 7 relevante Sektoren: Ernährung, Finanz/Versicherungswesen, Wasser, Transport/Verkehr, IT/Telekommunikation, Gesundheit, Energie & zukünftig Entsorgung.

 

 

Was ist jetzt neu im IT-SiG 2.0?

Die Wichtigste Neuerung ist, dass die bisherigen Sektoren um den Sektor „Entsorgung“ ergänzt werden. Warum? Ausfälle oder Beeinträchtigungen im Bereich der Abfallwirtschaft führen unter Umständen nicht nur zur massiven Umweltverschmutzung, sondern auch zu einem Anstieg der Seuchengefahr.

Was gibt es für Anforderungen an kritische Infrastrukturen Betreiber?

Eine Kontaktstelle ist für die betriebene Kritische Infrastruktur zu benennen. Diese muss jederzeit erreichbar sein und diese schickt das BSI IT-Sicherheitsinformationen. Dies muss als ein Funktionspostfach (keine persönliche E-Mail Adresse eines Mitarbeiters) umgesetzt werden.
Hauptaufgabe der Kontaktstelle ist es, die BSI-Produkte zur Warnung von KRITIS Betreibern (Cyber-Sicherheitswarnungen, Lageinformationen) zu sichten und zu bewerten.

IT-Störungen oder erhebliche Beeinträchtigungen müssen gemeldet werden.
KRITIS Betreiber sind verpflichtet, IT-Sicherheitsvorfälle umgehend dem BSI zu melden. Dazu muss zunächst die Kontaktstelle benannt und registriert werden. Das BSI gewährleistet dann Zugang zu vertrauenswürdigen Meldekanälen. Betreiber kritischer Infrastrukturen, die aufgrund eines zu niedrigen Regelschwellenwertes nicht unter KRITISV fallen, können dies freiwillig durchführen.

Die IT-Sicherheit ist auf dem „Stand der Technik“ umzusetzen
„Stand der Technik“ ist ein bewusst dehnbar gewählter juristischer Begriff.
Wenn ein Gesetz im Bereich der IT/IT-Sicherheit verabschiedet wird, steht an dessen Ende meist komplexe Technik bzw. technische Verfahren, oder technische Maßnahmen. Diese unterscheiden sich jedoch stark vom jeweiligen Fall und sind außerdem schnelllebig.
Der für den Moment gültige Standard für den jeweiligen Bereich zum „Stand der Technik“ lässt sich sehr gut von nationalen oder internationalen Standards wie z.B. ISO, DIN, ISO/IEC und branchenspezifischen Sicherheitsstandards (B3S Kataloge) ableiten.

Nachweis gegenüber BSI (alle 2 Jahre)

Nach Gesetz ist es gefordert, „angemessene Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten und Prozesse nach dem ‚Stand der Technik‘ zu treffen und dies gegenüber dem BSI nachzuweisen“.

Wann wird das Gesetz verabschiedet?

Gerade für KRITIS-Unternehmen besteht aktuell eine große Unsicherheit bezüglich möglicher künftiger Auflagen, die Investitionen in Technik, Personal oder Dienstleistereinbindung nach sich ziehen könnten.  Selbst nach dem aktuellen (zweiten) Referentenentwurf, aus Mai 2020, gibt es keine gesicherten Infos zum tatsächlichen Release. Es ist sehr sicher, dass noch eine weitere Überarbeitungsphase geben wird.

Gibt es einen Regelschwellenwert für den neuen Sektor Entsorgung?

Nein, der Regelschwellenwert für Entsorger fehlt. Das bedeutet: Anlagen und Systeme und Schwellenwerte für ihre Leistung ergeben sich aus „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV). Diese Verordnung ist entscheidend –  Sie wird nach der Verabschiedung des IT-SiG 2.0 entsprechend angepasst. Unsere Empfehlung an Unternehmen, es sollten sich schon einmal vorab die Regelungstechniken der BSI-KritisV angesehen werden. Denn hier sind „Anlagen und Systeme“ in der BSI-KritisV breit definiert.

    Für Entsorger sind folgende Punkte relevant.

    Es kann davon ausgegangen werden, dass künftig alle kommunalen Entsorger über Anlagen und Systeme verfügen, die unter BSI KritisV fallen. Der Regelschwellenwert wird dabei entscheidend sein – dieser liegt derzeit bei 500.000 versorgten Personen (nicht Haushalten!). Für einige Branchen sind diese Werte aber niedriger angesetzt. Klarheit wird es erst nach Anpassung der BSI KritisV geben.

    Die Q-SOFT GmbH unterstützt Sie bei jeglichen Vorhaben, Projekten oder Maßnahmen und ist dabei beratend und als Experte tätig.