KRITIS 2.0: Was Unternehmen 2022 erwartet

KRITIS wächst weiter: Durch die Ausweitung der BSI-Verordnung sind rund 250 zusätzliche Betriebe ab 2022 dazu verpflichtet, die Sicherheitsanforderungen für kritische Infrastrukturen umzusetzen. Wie können sich Unternehmen auf die Registrierung vorbereiten? Und welche Neuerungen bringt KRITIS 2.0 noch mit sich? Alle Details im Überblick.

Neben der verpflichtenden Einführung von Systemen zur Angriffserkennung baut die Novelle des IT-Sicherheitsgesetzes und der KRITIS-Verordnung vor allem den Geltungsbereich der Vorschrift aus: Mit der Abfallentsorgung kommt ein neuer Sektor hinzu, darüber hinaus sinken die Schwellenwerte für kritische Infrastrukturen in einigen Bereichen, etwa Energie und Transport. Das BSI veröffentlicht keine offizielle Statistik zur Zahl von KRITIS-Einrichtungen, Experten gehen jedoch davon aus, dass aufgrund dieser Änderungen etwa 250 zusätzliche Organisationen zu 1.600 bestehenden kritischen Infrastrukturen hinzukommen. 

Anzeige

Betriebe, die einen dieser Grenzwerte überschreiten, zählen ab April des Folgejahres als KRITIS-Einrichtung und müssen sich spätestens zu diesem Zeitpunkt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Sinnvoll wäre jedoch, die Anmeldung so bald wie möglich über das Melde- und Informationsportal des BSI abzuschließen. Zusätzlich muss im Unternehmen eine Kontaktstelle eingerichtet werden, die rund um die Uhr in der Lage ist, Updates und Warnungen des BSI zu empfangen und zu bewerten.

Einen Sonderfall bildet dabei die neu geschaffene Kategorie der Unternehmen im besonderen öffentlichen Interesse (UBI): Erstens fehlen hier noch einige Grenzwerte, zweitens unterscheiden sich die festgelegten Fristen zur Registrierung je nach Unterkategorie:

  • Betriebe, die mit Gefahrstoffen der oberen Klasse der Störfall-Verordnung arbeiten
  • Firmen, die Rüstungsmaterial oder staatliche Verschlusssachen verantworten
  • Unternehmen mit hoher Bedeutung für die inländische Wertschöpfung

Generell müssen sich Unternehmen im öffentlichen Interesse zwar auch beim BSI registrieren und erhebliche Störungen melden, sie sind jedoch nicht zur Einhaltung eines bestimmten Schutzniveaus verpflichtet. Stattdessen genügt eine Selbsterklärung zur IT-Sicherheit alle zwei Jahre, in der Firmen beispielsweise angeben, welche Zertifizierungen sie abgeschlossen haben.

Vorbereitung auf KRITIS: Der richtige Standard

Die Registrierung beim BSI ist nur die erste Hürde: Anschließend gilt es, die Informationssicherheit im Unternehmen auf das geforderte Niveau anzuheben. KRITIS verpflichtet Betreiber zu Schutzmaßnahmen nach dem Stand der Technik, schreibt aber keinen bestimmten Sicherheitsstandard vor. Zur Orientierung veröffentlicht das BSI einen Katalog an Anforderungen, die KRITIS-Betreiber abdecken sollten. Bei der Umsetzung können sich Organisationen an bestehenden Normen wie ISO 27001 und dem IT-Grundschutz orientieren oder selbst einen branchenspezifischen Sicherheitsstandard (B3S) entwickeln, den das BSI prüft und freigibt.

Als ersten Schritt sollten sich Betriebe also für einen Standard entscheiden und diesen als Leitlinie zur Vorbereitung verwenden. Hier hat jede Option spezifische Vor- und Nachteile. Die Norm ISO 27001 ist weltweit gültig und eignet sich daher auch international als Nachweis, allerdings erfüllt sie nicht alle KRITIS-Anforderungen. ISO 27001 lässt Organisationen einen gewissen Spielraum und stellt es z.B. frei, gewisse Risiken in Kauf zu nehmen oder durch eine Versicherung abzudecken. Aufgrund ihrer wesentlichen Bedeutung für die öffentliche Versorgung ist das bei kritischen Infrastrukturen keine Option. Nähere Informationen des BSI.

Bei dem IT-Grundschutz handelt es sich um einen Katalog an Schutzmaßnahmen, den das BSI als freiwillige Hilfestellung für Unternehmen anbietet. Da das Grundschutz-Kompendium selbst aus der Feder des BSI stammt, bestehen keine Konflikte zum Katalog der KRITIS-Anforderungen. Der Standard bietet Organisationen zudem sehr detaillierte und handfeste Vorgaben zur Absicherung von digitalen Systemen. Dieser hohe Detailgrad macht den IT-Grundschutz aber auch enorm umfangreich: Das Kompendium aller Sicherheits-Bausteine umfasst mehr als 800 Seiten.

Semmelmayer Helmut

tenfold -

Senior Manager Channel Sales

Als Senior Manager Channel Sales bei dem IAM-Entwickler tenfold hilft der IT-Sicherheitsexperte Helmut Semmelmayer Firmen dabei, Zugriffsrechte sicher und effizient zu verwalten. (Bildquelle: LinkedIn)
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.