Kritis-Grenzen für den zweiten Korb

Das Kabinett beschließt die Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen

Datum
1. Juni 2017
Autor

Die Bundesregierung hat am 31. Mai 2017 die die Änderungsverordnung zur KRITIS-Verordnung beschlossen. Künftig unterliegen weitere Unternehmen der Verordnung zur Bestimmung kritischer Infrastrukturen. Die KRITIS-Grenzen für die Sektoren Gesundheit, Finanzen und Verkehr sowie Transport und Verkehr stehen fest:

Schwellwerte Gesundheit

  • Krankenhäuser: ab 30.000 stationären Fällen pro Jahr
  • Produktionsstätten und Abgabestellen für Medizinprodukte: ab einem Jahresumsatz von 90,6 Millionen Euro
  • Produktionsstätten, Betriebs- und Lagerräume sowie Anlagen zum Vertrieb für verschreibungspflichtige Arzneimittel und Apotheken: ab 4,65 Millionen Packungen im Jahr
  • Labore, Transportsysteme und Kommunikationssysteme zur Auftrags- oder Befundübermittlung: ab 1,5 Millionen Aufträgen im Jahr
  • Anlagen oder Systeme zur Steuerung von Entnahme und Weiterverarbeitung von Blutspenden: ab 34‘000 Produkten im Jahr

Schwellwerte Finanzen und Versicherungen

  • Autorisierungssysteme für Bargeldabhebungen und Systeme zur Anbindung an ein Autorisierungssystem: ab 15 Millionen Transaktionen im Jahr
  • Clearing-Systeme und Settlement-Systeme: ab 18 Millionen Transaktionen im Jahr
  • Kontoführungssysteme: ab 15 Millionen Transaktionen im Jahr
  • Cash Center und Systeme zur Bargeldlogistik: ab 93,5 Millionen Banknoten im Jahr
  • Kartengestützter Zahlungsverkehr (Autorisierungssysteme, Systeme zur Aufbereitung durch den POS-Terminalbetreiber und Systeme für deren Anbindung): ab 21 Millionen Transaktionen im Jahr
  • Konventioneller Zahlungsverkehr (zum Beispiel Systeme zur Annahme einer Überweisung): ab 100 Millionen dienstleistungsbezogene Transaktionen im Jahr
  • Systeme für die Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften: ab 850‘000 Transaktionen im Jahr
  • Systeme in Verbindung mit Lebensversicherungen: ab 500‘000 Leistungsfällen im Jahr
  • Systeme in Verbindung mit Krankenversicherungen: ab 2 Millionen Leistungsfällen im Jahr

Schwellwerte Transport und Verkehr

  • Abfertigungsanlagen und Flughäfen: ab 20 Millionen Passagieren im Jahr beziehungsweise 750‘000 Tonnen Fracht im Jahr
  • Flugsicherung und Luftverkehrskontrolle: ab 17‘500 Flugbewegungen im Jahr
  • Personenbahnhöfe der jeweils höchsten Kategorie
  • Güterbahnhöfe und Zugbildungsbahnhöfe: ab 23‘000 Züge im Jahr
  • Schienennetze, Stellwerke und Leitzentralen im ÖSPNV: ab 125 Millionen beförderten Personen im Jahr oder 500‘000 Einwohnern in der überwachten Region
  • Logistikzentren und Umschlaganlagen: ab 17 Millionen Tonnen Güter im Jahr

Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (KRITIS-Verordnung, BSI-KritisV) legt fest, welche Anlagen als kritische Infrastrukturen anzusehen sind. Die Betreiber dieser Anlagen sind durch das IT-Sicherheitsgesetz verpflichtet, branchenspezifische Sicherheitsstandards umzusetzen. Diese bestehen erwartungsgemäss aus einem Bündel konkreter Maßnahmen sowie der verbindlichen Einführung eines Managementsystems für Informationssicherheit (ISMS).

Der erste Teil der KRITIS-Verordnung zur Umsetzung des IT-Sicherheitsgesetzes ist am 3. Mai 2016 in Kraft getreten. Im sogenannten ersten Korb wurden Grenzwerte für Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung festgelegt.

Der nun vorgelegte Referentenentwurf bestimmt Anlagen und Grenzwerte für den zweiten Korb. Das sind die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit.

Update 19. Mai 2017

Laut BSI-Vertretern seien für die Sektoren Gesundheit und Finanzen lediglich redaktionelle Änderungen geplant. Die Grenzwerte für den zweiten Teil der KRITIS-Verordnung sollen unverändert in die erste Lesung des Bundestages gehen.

Update 1. Juni 2017

Die Bundesregierung hat am 31. Mai der Änderung der BSI-KRITIS-Verordnung zugestimmt. Die Verordnung bestimmt transparente Kriterien, damit die Betreiber Kritischer Infrastrukturen aus den Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr prüfen können, ob sie unter das IT-Sicherheitsgesetz fallen oder nicht. Damit kann die geänderte Verordnung im Juni 2017 in Kraft treten. Der erste Teil der BSI-KRITIS-Verordnung (für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung) ist seit dem 3. Mai 2016 in Kraft.

Einschätzung

Nach der Änderung können Firmen und Organisationen aus allen sieben Sektoren prüfen, ob sie kritische Infrastrukturen nach dem IT-Sicherheitsgesetz betreiben. Wenn ja, sind die Betreiber verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik innerhalb von sechs Monaten eine zentrale Kontaktstelle zu nennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.

Wir gehen davon aus, dass sich viele Betreiber kritischer Infrastrukturen schon darauf vorbereitet haben. Wer das noch nicht getan hat, sollte sich beeilen. Infrastrukturen, Prozesse und Informationen umfassend und strukturiert schützen braucht Zeit. Mit einem Managementsystem für Informationssicherheit erfüllen Sie sämtliche regulatorischen Auflagen und können die Einhaltung der geforderten Mindeststandards nachweisen.

Zielgruppen

  • Management
  • IT- und IS-Verantwortliche
  • Management
  • Interessierte Kreise