IT-Sicherheit: Unter welchen Voraussetzungen ist das eigene Unternehmen Betreiber kritischer Infrastrukturen?

Am 30.06.2017 ist die neue BSI KRITIS-Verordnung in Kraft getreten. Das Bundesministerium des Innern hat damit die noch offene Schwellwert- und Anforderungsdefinition für Betreiber kritischer Infrastrukturen aus den Sektoren Gesundheit, Transport und Verkehr sowie Finanz- und Versicherungswesen auf Grundlage des IT-Sicherheitsgesetzes vorgenommen. 

Eine gute Gelegenheit für uns das Gesetz, die abgeleiteten Verordnungen sowie die definierten Schwellenwerte und Anforderungen kurz darzustellen und die wichtigsten Fakten zusammenzutragen.

IT-Sicherheitsgesetz

Mit dem IT-Sicherheitsgesetzes vom 25. Juli 2015 hat die Bundesregierung erstmals folgende sieben privatwirtschaftliche und öffentliche Sektoren als kritische Infrastrukturen eingestuft:

  • Energie
  • Informationstechnik und Telekommunikation (ITK)
  • Wasser
  • Ernährung
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen

Sie hat damit erstmals auf die zunehmende Bedrohungslage virtueller Hackerangriffe auf öffentliche und privatwirtschaftliche IT-Infrastrukturen reagiert.

mdex ISMS Bereich

Abbildung: mdex ISO27001 – Bereiche des mdex Informations-Sicherheits-Managementsystems

Schwellwerte und Anforderungen – Ab wann ist man Betreiber kritischer Infrastrukturen

Für die genaue Einstufung der im Gesetz beschriebenen Betreiber kritischer Infrastrukturen wurden bereits im Mai 2016 für vier der sieben Sektoren (Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung) Schwellwerte und regulatorische Anforderungen in der BSI KRITIS-Verordnung festgeschrieben.  Diese wurde nun am 31.05.2017 um die Änderungsverordnung der BSI KRITIS-Verordnung ergänzt, sodass nun ebenfalls die Einstufung der noch verbleibenden Sektoren abschließend geregelt werden kann.

Aufgrund der definierten Schwellwerte können Betreiber aus den besagten Sektoren feststellen, ob die von ihnen betriebene Einheit, Einrichtung oder Anlage vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als kritische Infrastruktur eingestuft wird. Bei Überschreitung des definierten Schwellwertes ergeben sich neben einer Meldepflicht gegenüber des BSI innerhalb einer sechsmonatigen Frist außerdem eine Nachweispflicht über die Einhaltung des im Gesetz definierten IT-Sicherheitsmindeststandards innerhalb einer Frist von zwei Jahren.

Stromerzeugung und –Speicherung: ab 450 MW pro Jahr

Gasversorgung ab 5190 GWh/Jahr

Raffinerie: ab 620.000 Tonnen Heizöl pro Jahr

Tankstellennetzbetrieb ab 335.000 Abgabestellen

IT-Unternehmen allgemein ab 500.000 verwalteten personenbezogenen Zertifikaten oder 10.000 TLS-Zertifikaten

Rechenzentren ab einer Betriebsleistung von 5 Megawatt

Server-Farmen ab 25.000 laufenden Instanzen und bei den

Content-Providern mit mehr als 75.000 Terabytes im Jahr

Netzbetreiber und Übertragungsdienstleister mit mehr als 100.000 Teilnehmern oder 75.000 Terabytes pro Jahr,

DNS-Server-Betreiber ab 2,5 Millionen IP-Abfragen pro Tag oder bei 250.000 Domains, für die der Server autoritativ ist.

Trinkwasserversorgung: Wasserwerke ab 21,9 Millionen m³ pro Jahr oder mit einem Versorgungsvolumen ab 500.000 Bürgern

Abwasserbeseitigung: Kläranlagen, die die Abwasserversorgung für 500.000 Bürger bereitstellen, aufarbeiten oder weiterleiten.

Anlagen, die mindestens 334.000 Tonnen Speisen im Jahr erzeugen, lagern oder verteilen. Im Bereich der flüssige Nahrungsmittel gilt ein Schwellwert von mindestens 274,5 Millionen produzierten Getränken.

Kliniken und Krankenhäuser: mehr als 30.000 stationäre Fälle pro Jahr

Produktionsstätten und Abgabestellen für Medizinprodukte: Mindestjahresumsatz von 90,6 Millionen Euro

Produktionsstätten, Betriebs- und Lagerräume sowie Einrichtungen zum Vertrieb für verschreibungspflichtige Arzneimittel sowie Apotheken: ab 4,65 Millionen Packungen im Jahr

Labore, Transportsysteme und Kommunikationssysteme zur Auftrags- oder Befundübermittlung: ab 1,5 Millionen Aufträgen im Jahr

Anlagen oder Systeme zur Steuerung von Entnahme und Weiterverarbeitung von Blutspenden: ab 34.000 Produkten im Jahr

Flughäfen und Abfertigungsanlagen: ab 20 Millionen Passagieren im Jahr oder 750.000 Tonnen Fracht im Jahr

Flugsicherung und Luftverkehrskontrolle: ab 17.500 Flugbewegungen im Jahr

Personenbahnhöfe der jeweils höchsten Kategorie

Güterbahnhöfe und Zugbildungsbahnhöfe: ab 23.000 Züge im Jahr

Schienennetze, Stellwerke und Leitzentralen im Personennahverkehr: ab 125 Millionen beförderten Personen im Jahr oder 500.000 Einwohnern in der überwachten Region

Logistikzentren und Umschlaganlagen: ab 17 Millionen Tonnen Güter im Jahr

Autorisierungssysteme für Bargeldabhebungen und zur Anbindung an ein Autorisierungssystem: ab 15 Millionen Transaktionen im Jahr

Clearing-Systeme und Settlement-Systeme: ab 18 Millionen Transaktionen im Jahr

Kontoführungssysteme: ab 15 Millionen Transaktionen im Jahr

Cash Center und Systeme zur Bargeldlogistik: ab 93,5 Millionen Banknoten im Jahr

Kartengestützter Zahlungsverkehr: Autorisierungssysteme, Systeme zur Aufbereitung durch den POS-Terminalbetreiber und Systeme für deren Anbindung ab 21 Millionen Transaktionen im Jahr

konventioneller Zahlungsverkehr:  Systeme zur Annahme einer Überweisung: ab 100 Millionen dienstleistungsbezogene Transaktionen im Jahr

Verrechnungs- und Abwicklungssysteme von Wertpapier- und Derivatgeschäften: ab 850.000 Transaktionen im Jahr

Systeme in Verbindung mit Lebensversicherungen: ab 500.000 Leistungsfälle im Jahr

Systeme in Verbindung mit Krankenversicherungen: ab 2 Millionen Leistungsfälle im Jahr

Sie haben Fragen, Anregungen oder Ideen? Sprechen Sie uns einfach an.

Wir freuen uns auf einen regen Austausch mit Ihnen.

Hinterlassen Sie einen Kommentar