Definition KRITIS

Was KRITIS für Unternehmen bedeutet

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Das Nationale IT-Lagezentrum ist für Bundesbehörden, Kritische Infrastrukturen (KRITIS) und Partner täglich in Bereitschaft. Wer alles zu KRITIS gehört, muss allerdings noch genau geklärt werden.
Das Nationale IT-Lagezentrum ist für Bundesbehörden, Kritische Infrastrukturen (KRITIS) und Partner täglich in Bereitschaft. Wer alles zu KRITIS gehört, muss allerdings noch genau geklärt werden. (Bild: BSI)

Das IT-Sicherheitsgesetz verlangt von Betreibern kritischer Infrastrukturen, kurz KRITIS, dass sie ihre Netze besser schützen und Angriffe melden. Doch wer genau ist Teil von KRITIS? Und welche Konsequenzen hat das IT-Sicherheitsgesetz für andere Unternehmen?

Für KRITIS gibt es eine offizielle Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK): Kritische Infrastrukturen (KRITIS) sind demnach Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten. BSI und BBK nennen auch eine ganze Reihe von Sektoren (und Branchen), die den Kritischen Infrastrukturen zugeordnet werden.

Alleine diese Definition hilft aber nicht: Gehören wir zu KRITIS oder nicht, diese Frage stellten sich viele Unternehmen spätestens dann, als das IT-Sicherheitsgesetz im Juli 2015 in Kraft getreten war. Insbesondere Unternehmen aus dem Mittelstand waren verunsichert. Die Abgrenzung des Geltungsbereiches des Gesetzes soll per Rechtsverordnung genauer festgelegt werden. Im Februar 2016 wurde der Entwurf einer entsprechenden Rechtsverordnung zum IT-Sicherheitsgesetz veröffentlicht.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßte den Entwurf einer „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“, meldete aber sogleich Nachbesserungsbedarf an. Auch andere Verbände wie VDE (Verband der Elektrotechnik Elektronik Informationstechnik e.V.), VKU (Verband Kommunaler Unternehmen) oder DVGW (Deutscher Verein des Gas- und Wasserfaches e.V.) sehen den Bedarf einer weiteren Konkretisierung (pdf), wer genau zu KRITIS gehört.

Klar ist hingegen, wer zu UP KRITIS gehört oder gehören kann. Der UP KRITIS ist nach BSI-Definition eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. Eine Teilnahme an UP KRITIS kann man beantragen, die Mitgliedschaft ist freiwillig. Deshalb gilt: Auch wenn man kein Mitglied im UP KRITIS ist, kann man unter die Vorgaben des IT-Sicherheitsgesetzes fallen.

Bedeutung und Empfehlung für Unternehmen

Bevor die „KRITIS-Verordnung“ nicht final vorliegt, lässt sich zwar sagen, dass bestimmte Branchen zwingend unter die Vorgaben des IT-Sicherheitsgesetzes fallen, ausschließen kann man ein bestimmtes Unternehmen aber nicht so einfach. Selbst auf Basis der KRITIS-Verordnung kann wohl nicht ausgeschlossen werden, dass es Unklarheiten bei der Zuordnung zu KRITIS geben wird.

Laut einer PwC-Umfrage sind sich 18 Prozent der Unternehmen unsicher, ob sie dem IT-Sicherheitsgesetz unterliegen. Betrachtet man die laufende Diskussion um das Thema KRITIS, dürfte die Zahl der Unternehmen, die sich unsicher sind, noch deutlich höher sein. Immerhin bietet zum Beispiel KPMG eine sogenannte Betroffenheitsanalyse, damit Unternehmen besser verstehen, ob sie vom Gesetzgeber als Betreiber einer Kritischen Infrastruktur (KRITIS) angesehen werden und welche Anforderungen des IT-Sicherheitsgesetzes sie erfüllen müssen.

Nicht nur KRITIS-Unternehmen sind betroffen

Wie zum Beispiel der Insider Talk zum IT-Sicherheitsgesetz ergab, betrifft das IT-Sicherheitsgesetz auch den Mittelstand in deutlicher Form, selbst dann, wenn ein Unternehmen nicht selbst zu KRITIS gezählt wird. Dies folgt insbesondere daraus, dass man erwarten kann, dass die betroffenen Unternehmen die Sicherheitsanforderungen an ihre Zulieferer und Dienstleister weitergeben werden, wie auch der Bundesverband der Deutschen Industrie (BDI) erklärt hat.

KRITIS und das IT-Sicherheitsgesetz sind somit für weitaus mehr Unternehmen ein Thema, als der bisherige Entwurf der KRITIS-Verordnung erwarten lässt. Unternehmen tun deshalb gut daran, sich einen Überblick über die Forderungen des IT-Sicherheitsgesetzes zu verschaffen, was zum Beispiel mit einer Tabelle des BSI gut möglich ist. Ebenso sollten Unternehmen die weitere Berichterstattung über KRITIS und das IT-Sicherheitsgesetz hier bei Security-Insider.de im Auge behalten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Neuer Schutz für Industrie und KRITIS-Betreiber

Neues eBook „Industrial Security“

Neuer Schutz für Industrie und KRITIS-Betreiber

Cyber-Attacken auf Industrieunternehmen richten großen wirtschaftlichen Schaden an. Gehören die Unternehmen zu den Kritischen Infrastrukturen (KRITIS), können die Folgen eines Angriffs die Versorgung und öffentliche Sicherheit des Landes bedrohen. Die Industrial Security muss diesen hohen Risiken gerecht werden und braucht deshalb ein neues Fundament. lesen

Netzwerkfähige Produkte bedürfen neuer Zertifizierung

Produktzertifizierungen

Netzwerkfähige Produkte bedürfen neuer Zertifizierung

Heute sind bereits viele Geräte an das Internet angeschlossen – Tendenz steigend. Das bringt völlig neue Herausforderungen für die Hersteller, die jetzt auch die Cybersicherheit ihrer Produkte berücksichtigen müssen. lesen

Breitband bedroht Kritische Infrastrukturen

DDoS-Angriffe bald per Glasfaser

Breitband bedroht Kritische Infrastrukturen

Die Bundesregierung will das Internet breitbandig ausbauen – Security-Insider will von Marc Wilczek, Geschäftsführer von Link11 und Spezialist zur Abwehr von DDoS-Angriffen wissen, welche Maßnahmen zur Sicherung dieser Kapazität – etwa im Hinblick auf unsere kritischen Infrastrukturen – erforderlich sind, ob die Anwender diese tatsächlich umgesetzt haben und was das alles für den kriminellen Markt bedeutet. lesen

Immer mehr Cyberangriffe auf den Energiesektor

Sicherheit für kritische Infrastrukturen

Immer mehr Cyberangriffe auf den Energiesektor

Ein Hacker-Angriff auf kritische Infrastruktur­systeme, wie Energie- und Wasserversorgung, Verkehr oder Telekommunikation hat das Potenzial Regionen oder ganze Länder ins Chaos zu stürzen. Zuletzt mehren sich die Anzeichen, dass Nationalstaaten zunehmend Vor­be­rei­tung­en für diese Form der digitalen Kriegsführung treffen. Betroffene Unternehmen müssen deshalb zwingend zeitgemäße Sicherheitsmaßnahmen umsetzen. lesen

Öffentliche Sicherheit fördern

Zivile Sicherheitsforschung

Öffentliche Sicherheit fördern

Mit dem Rahmenprogramm „Forschung für die zivile Sicherheit 2018 - 2023“ will sich die Bundesregierung der Verantwortung stellen, Sicherheit und Ordnung in einer vernetzten Welt zu fördern. lesen

Kein Datenschutz ohne Identitätsschutz

Neues eBook „Identity Protection“

Kein Datenschutz ohne Identitätsschutz

Digitale Identitäten sind der Schlüssel zu vertraulichen Daten und geschäftskritischen Systemen. Reiner Passwortschutz ist oftmals zu wenig, weitere Sicherheitsfaktoren sind gefragt. Das neue eBook „Identity Protection“ zeigt, wie Multi-Faktor-Authentifizierung bei der Einhaltung von Compliance-Vorgaben hilft und gibt zudem Tipps für die Lösungssuche. lesen

8 Trends für 2018 in der Cyber-Sicherheit

TÜV Rheinland Cybersecurity Trends 2018

8 Trends für 2018 in der Cyber-Sicherheit

Wie können sich Unternehmen besser vor der wachsenden Zahl und der Komplexität an Cyberattacken schützen und sich zugleich für die Chancen der Automatisierung und Digitalisierung der Wirtschaft rüsten? Diese Fragen beleuchtet TÜV Rheinland in seinen „Cybersecurity Trends 2018”. lesen

Warum „Minimum Viable Cloud“ ein Schreckgespenst ist

Das minimal überlebensfähige Produkt

Warum „Minimum Viable Cloud“ ein Schreckgespenst ist

Etwa vor einem Jahr hörte ich im Rahmen einer Projektbesprechung erstmals das schreckliche Akronym „MVC“. Mein Kontakt nannte diese Abkürzung wieder und wieder und ich wusste nicht, was sie bedeutete. Zunächst tippte ich auf „Model-View-Controller“, bis ich lernte, dass MVC für „Minimum Viable Cloud“ steht. Der Begriff leitet sich von „Minimum Viable Product“, kurz MVP ab, wörtlich ein "minimal überlebensfähiges Produkt“. lesen

Sichere Netzwerke für die Smart Factory

Sicherheitskonzepte für Industrie 4.0

Sichere Netzwerke für die Smart Factory

Das Vernetzen von Anlagen automatisiert und individualisiert die Produktion, sorgt für mehr Effizienzund höhere Rentabilität – und macht die Systeme für Hacker angreifbar. Denn Cyberkriminelle könnten ausnutzen, dass die gängigen IT-Sicherheitsstandards im Industrie-4.0-Umfeld häufig nicht so greifen, wie IT-Experten das erwarten. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44075860 / Definitionen)