Definition KRITIS

Was KRITIS für Unternehmen bedeutet

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Das Nationale IT-Lagezentrum ist für Bundesbehörden, Kritische Infrastrukturen (KRITIS) und Partner täglich in Bereitschaft. Wer alles zu KRITIS gehört, muss allerdings noch genau geklärt werden.
Das Nationale IT-Lagezentrum ist für Bundesbehörden, Kritische Infrastrukturen (KRITIS) und Partner täglich in Bereitschaft. Wer alles zu KRITIS gehört, muss allerdings noch genau geklärt werden. (Bild: BSI)

Das IT-Sicherheitsgesetz verlangt von Betreibern kritischer Infrastrukturen, kurz KRITIS, dass sie ihre Netze besser schützen und Angriffe melden. Doch wer genau ist Teil von KRITIS? Und welche Konsequenzen hat das IT-Sicherheitsgesetz für andere Unternehmen?

Für KRITIS gibt es eine offizielle Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK): Kritische Infrastrukturen (KRITIS) sind demnach Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten. BSI und BBK nennen auch eine ganze Reihe von Sektoren (und Branchen), die den Kritischen Infrastrukturen zugeordnet werden.

Alleine diese Definition hilft aber nicht: Gehören wir zu KRITIS oder nicht, diese Frage stellten sich viele Unternehmen spätestens dann, als das IT-Sicherheitsgesetz im Juli 2015 in Kraft getreten war. Insbesondere Unternehmen aus dem Mittelstand waren verunsichert. Die Abgrenzung des Geltungsbereiches des Gesetzes soll per Rechtsverordnung genauer festgelegt werden. Im Februar 2016 wurde der Entwurf einer entsprechenden Rechtsverordnung zum IT-Sicherheitsgesetz veröffentlicht.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßte den Entwurf einer „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“, meldete aber sogleich Nachbesserungsbedarf an. Auch andere Verbände wie VDE (Verband der Elektrotechnik Elektronik Informationstechnik e.V.), VKU (Verband Kommunaler Unternehmen) oder DVGW (Deutscher Verein des Gas- und Wasserfaches e.V.) sehen den Bedarf einer weiteren Konkretisierung (pdf), wer genau zu KRITIS gehört.

Klar ist hingegen, wer zu UP KRITIS gehört oder gehören kann. Der UP KRITIS ist nach BSI-Definition eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. Eine Teilnahme an UP KRITIS kann man beantragen, die Mitgliedschaft ist freiwillig. Deshalb gilt: Auch wenn man kein Mitglied im UP KRITIS ist, kann man unter die Vorgaben des IT-Sicherheitsgesetzes fallen.

Bedeutung und Empfehlung für Unternehmen

Bevor die „KRITIS-Verordnung“ nicht final vorliegt, lässt sich zwar sagen, dass bestimmte Branchen zwingend unter die Vorgaben des IT-Sicherheitsgesetzes fallen, ausschließen kann man ein bestimmtes Unternehmen aber nicht so einfach. Selbst auf Basis der KRITIS-Verordnung kann wohl nicht ausgeschlossen werden, dass es Unklarheiten bei der Zuordnung zu KRITIS geben wird.

Laut einer PwC-Umfrage sind sich 18 Prozent der Unternehmen unsicher, ob sie dem IT-Sicherheitsgesetz unterliegen. Betrachtet man die laufende Diskussion um das Thema KRITIS, dürfte die Zahl der Unternehmen, die sich unsicher sind, noch deutlich höher sein. Immerhin bietet zum Beispiel KPMG eine sogenannte Betroffenheitsanalyse, damit Unternehmen besser verstehen, ob sie vom Gesetzgeber als Betreiber einer Kritischen Infrastruktur (KRITIS) angesehen werden und welche Anforderungen des IT-Sicherheitsgesetzes sie erfüllen müssen.

Nicht nur KRITIS-Unternehmen sind betroffen

Wie zum Beispiel der Insider Talk zum IT-Sicherheitsgesetz ergab, betrifft das IT-Sicherheitsgesetz auch den Mittelstand in deutlicher Form, selbst dann, wenn ein Unternehmen nicht selbst zu KRITIS gezählt wird. Dies folgt insbesondere daraus, dass man erwarten kann, dass die betroffenen Unternehmen die Sicherheitsanforderungen an ihre Zulieferer und Dienstleister weitergeben werden, wie auch der Bundesverband der Deutschen Industrie (BDI) erklärt hat.

KRITIS und das IT-Sicherheitsgesetz sind somit für weitaus mehr Unternehmen ein Thema, als der bisherige Entwurf der KRITIS-Verordnung erwarten lässt. Unternehmen tun deshalb gut daran, sich einen Überblick über die Forderungen des IT-Sicherheitsgesetzes zu verschaffen, was zum Beispiel mit einer Tabelle des BSI gut möglich ist. Ebenso sollten Unternehmen die weitere Berichterstattung über KRITIS und das IT-Sicherheitsgesetz hier bei Security-Insider.de im Auge behalten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

RDP bleibt ein großes Sicherheitsrisiko

Studie zu RDP-Attacken

RDP bleibt ein großes Sicherheitsrisiko

RDP (Remote Desktop Protocol) ist ein weit verbreiteter Access Service, den Administratoren, mobile Mitarbeiter und Managed Service Provider (MSPs) vielfach nutzen. RDP schafft jedoch zugleich ein Einfallstor für Cyberangriffe, wie eine aktuelle Studie von Vectra belegt. lesen

Gesetzeslage und Anforderungen an die IT-Sicherheit

Standardisierung in der IT-Sicherheit

Gesetzeslage und Anforderungen an die IT-Sicherheit

Das Thema IT-Sicherheit betrifft im Rahmen der digitalen Transformation immer mehr Branchen und somit Menschen. Je breiter ein Marktumfeld wird, desto wichtiger wird eine umfassende Standardisierung, um sicherzustellen, dass Sicherheitsaspekten stets genügend Raum gegeben wird. lesen

IoT-Security ist unverzichtbar

Sicherheit im Internet of Things

IoT-Security ist unverzichtbar

Immer mehr Unternehmen fassen in der Welt des Internet of Things (IoT) Fuß. Die Mehrheit erwartet sich durch den Wandel der Firma zur Smart Factory einen positiven Effekt auf das Geschäft. Das Thema IoT-Security bleibt dabei oft auf der Strecke. lesen

Welche Sicherheitsvorgaben bestehen in Fernost?

China und die Cloud

Welche Sicherheitsvorgaben bestehen in Fernost?

Wer cloudbasierte Dienste für Behörden und kritische Infrastrukturen in China anbieten oder Daten mit chinesischen Standorten austauschen will, muss spezielle Security-Vorgaben aus China beachten. Dabei reicht es nicht, sich auf eine Einhaltung der Datenschutz-Grundverordnung (DSGVO / GDPR) der EU zu verlassen. GDPR-Compliance reicht für China nicht aus, es gibt andere Vorgaben und ein eigenes Cloud Security Assessment. lesen

So können sich Behörden vor Cyber-Attacken schützen

IT-Sicherheit im öffentlichen Sektor

So können sich Behörden vor Cyber-Attacken schützen

Der öffentliche Sektor ist immer wieder von Cyber-Attacken betroffen. Da ein Angriff auf die IT der öffentlichen Einrichtungen schwere Folgen mit sich bringen kann, zählen diese zu den sogenannten Kritischen Infrastrukturen (KRITIS), für die verschärfte Sicherheitsmaßnahmen gelten. Aus diesem Grund empfehlen Sicherheitsexperten der OTRS AG den Behörden, sich an einen Fünf-Stufen-Plan zu halten. lesen

Erfolgreiches ISMS in 4 Schritten

ISMS unkompliziert

Erfolgreiches ISMS in 4 Schritten

Unternehmen müssen ihre Daten schützen und kommen dabei am Thema Informations­sicherheits­management nicht vorbei. Ein gutes Information Security Management System (ISMS) berücksichtigt immer auch den Faktor Mensch. Mit einer richtigen Strategie ist es aber möglich, ein ISMS ohne Reibungsverluste in bereits bestehende Abläufe zu integrieren und eine Kultur zu schaffen, die die Sicherheit der Informationen priorisiert. lesen

Netzwerksicherheit in der Ernährungsbranche

Die Mitarbeiter müssen mitspielen

Netzwerksicherheit in der Ernährungsbranche

Nachdem wir uns in unserer Serie über IT-Sicherheit in unterschiedlichen Branchen in der letzten Folge mit Telekommunikations­unternehmen befasst haben, kommt nun der Bereich Ernährung an die Reihe. Dazu haben wir mit Reinhard Steckermeier gesprochen, der das Systemhaus Agotech betreibt und für die IT der Byodo Naturkost GmbH verantwortlich ist. lesen

Die Zeit ist reif für Zero Trust!

Sicherheitsprognosen 2020

Die Zeit ist reif für Zero Trust!

2020 wird nicht nur das IT-Sicherheitsgesetz 2.0 die Anforderungen an kritische Infrastrukturen deutlich ändern, sondern es gelangen auch weitere dringende Themen in den Vordergrund. Dazu gehört nach den Trendaussagen von Detlev Henze, Geschäftsführer TÜV Trust IT, TÜV Austria, der Zero Trust-Ansatz ebenso wie agile ISMS. Zudem wird der Bedarf am Standard IEC 62443 in der OT steigen und der Aspekt der Usable Security zusätzlich in den Fokus rücken. lesen

Netzwerksicherheit in der Telekommunikation

IT-Sicherheit bei TK-Unternehmen

Netzwerksicherheit in der Telekommunikation

Nachdem wir uns in der letzten Folge unserer Serie über Security in verschiedenen Branchen mit der IT-Sicherheit in Krankenhäusern auseinandergesetzt haben, kommen nun die Telekommunikations­unternehmen an die Reihe. Über dieses Thema haben wir mit Dr. Rüdiger Peusquens, Leiter des Bereichs Cyber Defense Response bei der Telekom Security, gesprochen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44075860 / Definitionen)