Was sind Kritische Infrastrukturen allgemein?
„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ (Definition des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie des Bundesamtes für Sicherheit in der Informationstechnik.)
Zu welchen wirtschaftlichen bzw. gesellschaftlichen Sektoren gehören KRITIS?
Zu den Kritischen Infrastrukturen innerhalb des Bundesgebietes zählen die Sektoren
– Energie mit den Bereichen Elektrizität, Mineralöl und Gas,
– Transport und Verkehr mit den Bereichen Schienenverkehr, Binnenschifffahrt, Seeschifffahrt und Luftverkehr,
– Gesundheit mit den Bereichen medizinische Versorgung, Labore, Arzneimittel und Impfstoffe,
– Medien und Kultur,
– Wasser,
– Staat und Verwaltung,
– Ernährung,
– Informationstechnik und Telekommunikation,
– Finanz- und Versicherungswesen.
Welche Energie-Unternehmen genau zählen zu den Kritischen Infrastrukturen?
Inwieweit ein Unternehmen im Energie-Bereich eine KRITIS darstellt, wird mit dem BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, kurz: BSIG) und der BSI-Kritisverordnung (Verordnung zur Bestimmung Kritischer Infrastrukturen, kurz: BSI-KritisV) geregelt. Generell können – je nach Erreichung eines (im Anhang 1 Teil 3 der BSI-Kritisverordnung genannten) Schwellenwertes – Anlagen in den Bereichen
1. Stromversorgung,
2. Gasversorgung,
3. Kraftstoff- und Heizölversorgung und
4. Fernwärmeversorgung
zu den KRITIS gehören.
Näheres dazu s. u. „Schwellenwerte nach Anhang 1 Teil 3 BSI-KritisV“.
Wodurch werden die IT-Sicherheitsmaßstäbe im Bereich der KRITIS bestimmt?
Verschiedene Gesetze regeln die für Kritische Infrastrukturen anzuwendenden Sicherheitsvorkehrungen. Dabei kommt dem BSIG eine bedeutende Rolle zu, da dem „Bundesamt für Sicherheit in der Informationstechnik“ die Aufgabe des Schutzes der Informationssicherheit auf nationaler Ebene zufällt. Zu den weiteren relevanten gesetzlichen Regelungen in puncto KRITIS neben BSIG und BSI-KritisV gehören u. a.
– die NIS-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit; Richtlinie (EU) 2016/1148),
– das Artikelgesetz „Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU“,
– der IT-Sicherheitskatalog der Bundesnetzagentur gemäß § 11 Absatz 1a des Energiewirtschaftsgesetzes,
– die Branchenspezifischen Sicherheitsstandards (B3S) und
– das Energiewirtschaftsgesetz (EnWG).
Wie verhalten sich KRITIS und die EU-DSGVO zueinander?
Bei der Erstellung der EU-Datenschutzgrundverordnung (EU-DSGVO) wurde eine Balance zwischen Interessen der Wirtschaft und der Verbraucher angestrebt. Die EU-Datenschutzgrundverordnung berücksichtigt daher auch das Grundrecht der informationellen Selbstbestimmung des Verbrauchers. Gleichzeitig liegt es im Interesse sowohl von Verbrauchern als auch Wirtschaftsunternehmen, zur Abwendung von Kriminalität für eine hohe IT-Sicherheit zu sorgen. Vor dem Hintergrund der ständigen technischen Weiterentwicklung im Informatikbereich finden zwischen dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium des Innern sowie Verbänden u. a. der KRITIS regelmäßig Gesprächsrunden statt, bei denen neue Gefahren, Sicherheitsmaßnahmen und ihr Verhältnis zum Datenschutz und zur EU-Datenschutzgrundverordnung erörtert werden.
Welche Rolle spielt für die Sicherheit der KRITIS ein Datenschutzmanagementsystem?
Ein gutes Datenschutzmanagementsystem übernimmt die Aufgabe, in digital strukturierten Verwaltungsbereichen wesentliche Anforderungen an die Sicherheit und an den Datenschutz auch mit Einbezug der EU-DSGVO zu prüfen, die Einhaltungsgrade zu den Richtlinien zu dokumentieren und zu bewerten.
Schwellenwerte nach Anhang 1 Teil 3 BSI-KritisV
Schwellenwerte für Stromversorger
– Für Stromerzeugung mittels Erzeugungsanlage, KWK-Anlage, dezentrale Energieerzeugungsanlage, Speicheranlage oder Anlage bzw. System zur Steuerung/Bündelung elektrischer Leistung gilt ein Schwellenwert von 420 MW (installierte Netto-Nennleistung, elektrisch).
– Für Stromübertragung per Übertragungsnetz oder Verteilernetz gilt ein Schwellenwert von 3700 GWh/Jahr (durch Weiterverteiler und Letztverbraucher entnommene Jahresarbeit).
– Für die den physischen kurzfristigen Handel und das deutsche Marktgebiet betreffenden zentralen Stromhandelsanlagen und -systeme gilt ein Schwellenwert von 200 TWh/Jahr (Handelsvolumen an der Börse).
– Für Messstellen gilt ein Schwellenwert von 420 MW (Verbrauchsstellenleistung bzw. Einspeisung).
Schwellenwerte für Gasversorger
– Für Gasförderanlagen, Gasspeicher, Fernleitungsnetze und Gasverteilernetze gilt ein Schwellenwert von 5190 GWh/Jahr (mit unterschiedlichen Bemessungskriterien).
Schwellenwerte für Kraftstoff- und Heizölversorger
– Für Ölförderanlagen, Mineralölfernleitungen, Öl- und Produktenlager (bezüglich umgeschlagener Rohöl- oder Kraftstoffmengen), Anlagen zur zentralen standortübergreifenden Steuerung (bezüglich der Gesamtmenge der transportierten Rohöl- oder Produktmenge) gilt ein Schwellenwert von 4,4 Millionen Tonnen/Jahr (mit unterschiedlichen Bemessungskriterien).
– Für Raffinerien (bezüglich erzeugtem Kraftstoff), Öl- und Produktenlager (bezüglich umgeschlagenem Kraftstoff), Anlagen zur zentralen standortübergreifenden Steuerung (bezüglich der Gesamtmenge der umgeschlagenen Kraftstoffmenge und ebenfalls bezüglich der Gesamtmenge der verteilten Kraftstoffmenge), Anlagen oder Systemen von Aggregatoren zum Vertrieb von Kraftstoff und Heizöl (bezüglich der verteilten Kraftstoffgesamtmenge) und für Tankstellennetze (bezüglich der verteilten Kraftstoffmenge) gilt ein Schwellenwert von 420.000 Tonnen/Jahr (420.000 Tonnen sind ungefähr 420 Millionen Liter).
– Für Raffinerien (bezüglich erzeugtem Heizöl), Öl- und Produktenlager (bezüglich umgeschlagener Heizölmenge), Anlagen zur zentralen standortübergreifenden Steuerung (bezüglich der umgeschlagenen Heizölgesamtmenge und ebenfalls bezüglich der verteilten Heizölgesamtmenge), Anlagen oder Systemen von Aggregatoren zum Vertrieb von Kraftstoff und Heizöl (bezüglich der verteilten Heizölgesamtmenge) gilt ein Schwellenwert von 620.000 Tonnen/Jahr.
Schwellenwerte für Fernwärmeversorger
– Für Heizwerke und Heizkraftwerke gilt ein Schwellenwert von 2300 GWh/Jahr (ausgeleitete Wärmeenergie)
– Für Fernwärmenetze gilt ein Schwellenwert von 250.000 (angeschlossene Haushalte).
🧐 Sollten Sie Fragen zu diesem Thema haben, wenden Sie sich an suhling management consulting unter https://suhling.biz, Telefon +49 6201 8725124, E-Mail: info@suhling.biz