KRITIS – Kritische Infrastrukturen

KRITIS – Kritische Infrastrukturen

Table of Contents

KRITIS steht für “Kritische Infrastrukturen” und bezieht sich auf Organisationen oder Einrichtungen mit wichtiger Bedeutung für das öffentliche Gemeinwesen, deren Ausfall oder Beeinträchtigung zu nachhaltigen Versorgungsengpässen, zu Störungen der öffentlichen Sicherheit oder zu anderen dramatischen Folgen führen würde. KRITIS umfasst verschiedene Sektoren und Branchen wie Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

In Deutschland ist die Sicherstellung des Schutzes und der Cyber-Resilienz dieser kritischen Infrastrukturen eine zentrale Aufgabe der staatlichen Sicherheitspolitik. Es werden spezifische Maßnahmen getroffen, um diese Einrichtungen vor Risiken, insbesondere vor Cyberangriffen, zu schützen und ihre Funktionsfähigkeit zu gewährleisten.

Bedeutung und Zweck von KRITIS

Der Zweck der Definition von KRITIS-Unternehmen ist es, lebenswichtige Systeme und Dienstleistungen zu identifizieren und zu schützen, um die öffentliche Sicherheit und Ordnung zu gewährleisten, die Versorgung der Bevölkerung aufrechtzuerhalten und kritische Prozesse gegen Ausfälle, Cyberangriffe oder andere Gefahren zu sichern. Die Sicherung dieser Infrastrukturen ist von hoher nationaler Bedeutung und erfordert entsprechende Schutzkonzepte und Maßnahmen. Richtlinien wie NIS-2 sollen dabei KRITIS und andere Unternehmen noch stärker in die Pflicht nehmen.

Alles, was Sie zu NIS-2 wissen sollten.

Lesen Sie, wer von der NIS-2-Richtlinie betroffen ist, warum es notwendig wird zu handeln und wie Sie Maßnahmen mit FTAPI umsetzten.

Kategorien von KRITIS-Organisationen

Das Ausfall von sogenannten KRITIS Organisationen führt zu starken Beeinträchtigung, nachhaltigen Versorgungsengpässen, erheblichen öffentlichen Sicherheitsdefiziten oder anderen dramatischen Folgen. In Deutschland werden diese Organisationen in verschiedene Kategorien eingeteilt:

1) Energie: Strom-, Gasversorgung und Mineralöl.

2) Informationstechnik und Telekommunikation: Internet, Telefondienste und IT-Infrastruktur.

3) Wasser: Trinkwasserversorgung und Abwasserentsorgung.

4) Ernährung: Lebensmittelversorgung und Sicherstellung der Lebensmittelkette.

5) Gesundheit: Krankenhäuser, Arzneimittel und Labore.

6) Finanz- und Versicherungswesen: Banken, Börsen und Versicherungen.

7) Transport und Verkehr: Flug-, Schienen-, Schiffs- und Straßenverkehr.

8) Staat und Verwaltung: Regierung und Verwaltung, Parlamente, Justizeinrichtungen.

9) Medien und Kultur: Rundfunk, Presse und Kulturgüter.

Diese Kategorien sind von der Bundesregierung definiert und spielen eine wichtige Rolle bei der Sicherstellung der öffentlichen Ordnung und Sicherheit.

KRITIS-Verordnung in Deutschland

In Deutschland ist die KRITIS-Verordnung ein wesentlicher Bestandteil des IT-Sicherheitsgesetzes.

Sie legt fest, welche Sektoren und Branchen als kritische Infrastrukturen gelten, darunter Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Betreiber von KRITIS müssen besondere Sicherheitsmaßnahmen ergreifen, um die Versorgung zu gewährleisten und sind verpflichtet, IT-Sicherheitsvorfälle zu melden. Die Verordnung dient somit der Stärkung der nationalen Sicherheit und der Resilienz kritischer Infrastrukturen gegenüber Ausfällen und Cyberangriffen.

Das IT-Sicherheitsgesetz 2.0 erweitert den Anwendungsbereich und die Verpflichtungen der Betreiber kritischer Infrastrukturen sowie bestimmter Unternehmen im besonderen öffentlichen Interesse. Diese sind verpflichtet, erhöhte Sicherheitsanforderungen zu erfüllen, wie die Implementierung eines Informationssicherheitsmanagementsystems und die Meldung von IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Außerdem müssen sie kritische Komponenten vor dem Einsatz vom BSI zertifizieren lassen. Die Meldepflichten werden verschärft und das BSI erhält mehr Befugnisse, um die Einhaltung der Vorschriften zu überwachen und durchzusetzen.

Unternehmen außerhalb kritischer Infrastrukturen, die eine besondere Rolle für das Gemeinwesen spielen, unterliegen ebenfalls diesen Vorschriften. Dadurch soll die IT-Sicherheit in Deutschland insgesamt gestärkt werden

Aufgaben und Pflichten von KRITIS-Organisationen

Zu den Aufgaben von KRITIS-Organisationen gehören einerseits die Sicherstellung der Betriebsfähigkeit und Implementierung von angemessenen Sicherheitsmaßnahmen, u. a. sichere Kommunikation und sicheren Datenaustausch mit internen und externen Stakeholdern, aber auch Speicherung von sensiblen Kunden-Daten und Unternehmens-Filesharing) Andereseits sollte die regelmäßige Überprüfung der Wirksamkeit dieser Maßnahmen sichergestellt werden. Zudem sind KRITIS verpflichtet, Risikoanalysen durchzuführen, Notfallpläne zu entwickeln und an behördlichen Warn- und Informationsnetzwerken teilzunehmen. Bei Vorfällen müssen sie diese unverzüglich melden und mit den zuständigen Behörden kooperieren. Die Resilienz gegenüber physischen wie auch cyber-technischen Bedrohungen zu erhöhen, ist ein zentraler Bestandteil der Pflichten von KRITIS-Organisationen.

Maßnahmen zur Stärkung der Resilienz in KRITIS-Bereichen

Zur Stärkung der Resilienz in KRITIS-Bereichen werden Maßnahmen auf verschiedenen Ebenen umgesetzt, die darauf abzielen, die Widerstandsfähigkeit dieser kritischen Infrastrukturen gegenüber Störungen und Ausfällen zu erhöhen.

Dazu gehören:
– technische und organisatorische Vorkehrungen, 
– regelmäßige Risikoanalysen und Notfallpläne, 
– Cyber-Sicherheitsstrategien sowie 
– die Förderung der Zusammenarbeit zwischen privaten Betreibern und staatlichen Stellen.

Weiterbildung und Sensibilisierung der Mitarbeiter in KRITIS-Einrichtungen spielen ebenfalls eine zentrale Rolle, um präventiv gegen potenzielle Bedrohungen gewappnet zu sein.

FTAPI unterstützt Betreiber kritischer Infrastrukturen bei der Einhaltung relevanter Gesetze (u.a. NIS-2. KRITIS-Verordnung, IT-Sicherheitsgesetz) durch den Schutz sensibler Daten mittels Ende-zu-Ende-)Verschlüsselung, sicherer Authentifizierung und vielem mehr.