Definition KRITIS

Was KRITIS für Unternehmen bedeutet

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Das Nationale IT-Lagezentrum ist für Bundesbehörden, Kritische Infrastrukturen (KRITIS) und Partner täglich in Bereitschaft. Wer alles zu KRITIS gehört, muss allerdings noch genau geklärt werden.
Das Nationale IT-Lagezentrum ist für Bundesbehörden, Kritische Infrastrukturen (KRITIS) und Partner täglich in Bereitschaft. Wer alles zu KRITIS gehört, muss allerdings noch genau geklärt werden. (Bild: BSI)

Das IT-Sicherheitsgesetz verlangt von Betreibern kritischer Infrastrukturen, kurz KRITIS, dass sie ihre Netze besser schützen und Angriffe melden. Doch wer genau ist Teil von KRITIS? Und welche Konsequenzen hat das IT-Sicherheitsgesetz für andere Unternehmen?

Für KRITIS gibt es eine offizielle Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK): Kritische Infrastrukturen (KRITIS) sind demnach Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten. BSI und BBK nennen auch eine ganze Reihe von Sektoren (und Branchen), die den Kritischen Infrastrukturen zugeordnet werden.

Alleine diese Definition hilft aber nicht: Gehören wir zu KRITIS oder nicht, diese Frage stellten sich viele Unternehmen spätestens dann, als das IT-Sicherheitsgesetz im Juli 2015 in Kraft getreten war. Insbesondere Unternehmen aus dem Mittelstand waren verunsichert. Die Abgrenzung des Geltungsbereiches des Gesetzes soll per Rechtsverordnung genauer festgelegt werden. Im Februar 2016 wurde der Entwurf einer entsprechenden Rechtsverordnung zum IT-Sicherheitsgesetz veröffentlicht.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßte den Entwurf einer „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“, meldete aber sogleich Nachbesserungsbedarf an. Auch andere Verbände wie VDE (Verband der Elektrotechnik Elektronik Informationstechnik e.V.), VKU (Verband Kommunaler Unternehmen) oder DVGW (Deutscher Verein des Gas- und Wasserfaches e.V.) sehen den Bedarf einer weiteren Konkretisierung (pdf), wer genau zu KRITIS gehört.

Klar ist hingegen, wer zu UP KRITIS gehört oder gehören kann. Der UP KRITIS ist nach BSI-Definition eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. Eine Teilnahme an UP KRITIS kann man beantragen, die Mitgliedschaft ist freiwillig. Deshalb gilt: Auch wenn man kein Mitglied im UP KRITIS ist, kann man unter die Vorgaben des IT-Sicherheitsgesetzes fallen.

Bedeutung und Empfehlung für Unternehmen

Bevor die „KRITIS-Verordnung“ nicht final vorliegt, lässt sich zwar sagen, dass bestimmte Branchen zwingend unter die Vorgaben des IT-Sicherheitsgesetzes fallen, ausschließen kann man ein bestimmtes Unternehmen aber nicht so einfach. Selbst auf Basis der KRITIS-Verordnung kann wohl nicht ausgeschlossen werden, dass es Unklarheiten bei der Zuordnung zu KRITIS geben wird.

Laut einer PwC-Umfrage sind sich 18 Prozent der Unternehmen unsicher, ob sie dem IT-Sicherheitsgesetz unterliegen. Betrachtet man die laufende Diskussion um das Thema KRITIS, dürfte die Zahl der Unternehmen, die sich unsicher sind, noch deutlich höher sein. Immerhin bietet zum Beispiel KPMG eine sogenannte Betroffenheitsanalyse, damit Unternehmen besser verstehen, ob sie vom Gesetzgeber als Betreiber einer Kritischen Infrastruktur (KRITIS) angesehen werden und welche Anforderungen des IT-Sicherheitsgesetzes sie erfüllen müssen.

Nicht nur KRITIS-Unternehmen sind betroffen

Wie zum Beispiel der Insider Talk zum IT-Sicherheitsgesetz ergab, betrifft das IT-Sicherheitsgesetz auch den Mittelstand in deutlicher Form, selbst dann, wenn ein Unternehmen nicht selbst zu KRITIS gezählt wird. Dies folgt insbesondere daraus, dass man erwarten kann, dass die betroffenen Unternehmen die Sicherheitsanforderungen an ihre Zulieferer und Dienstleister weitergeben werden, wie auch der Bundesverband der Deutschen Industrie (BDI) erklärt hat.

KRITIS und das IT-Sicherheitsgesetz sind somit für weitaus mehr Unternehmen ein Thema, als der bisherige Entwurf der KRITIS-Verordnung erwarten lässt. Unternehmen tun deshalb gut daran, sich einen Überblick über die Forderungen des IT-Sicherheitsgesetzes zu verschaffen, was zum Beispiel mit einer Tabelle des BSI gut möglich ist. Ebenso sollten Unternehmen die weitere Berichterstattung über KRITIS und das IT-Sicherheitsgesetz hier bei Security-Insider.de im Auge behalten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Digitale Transformation verlangt kollektiven Dauerlauf

SPD-MdB Esken zum digitalen Immunsystem

Digitale Transformation verlangt kollektiven Dauerlauf

Die digitale Transformation von Staat und Wirtschaft ist eine Herausforderung: Es geht nicht allein um das Übertragen analoger Prozesse ins Virtuelle, sondern zusätzlich müssen auch Datenschutz und -sicherheit mitbedacht werden. Die SPD-Bundestags­abgeordnete Saskia Esken äußert sich im Interview mit Security-Insider zum Vorschlag nach einem „digitalen Immunsystem“ ihrer Fraktion. lesen

Netzwerksicherheit bei den Berliner Wasserbetrieben

Segmentiertes Netz und restriktive Zugriffe

Netzwerksicherheit bei den Berliner Wasserbetrieben

Bei Infrastrukturdienstleistern müssen die zuständigen Beschäftigten umfassende Sicherheitsvorgaben erfüllen. Gleichzeitig sind auch viele IoT-Komponenten in das Netz einzubinden. Schon kurzzeitige Ausfälle kritischer Infrastruktur-Systeme kann weit­reichende Folgen haben. Dieser Artikel gibt einen Überblick über die damit zusammen­hän­genden Anforderungen. lesen

Angriff aus der Dunkelheit

IT-Security Management & Technology Conference 2019

Angriff aus der Dunkelheit

Gefährliche Cyberangriffe bedrohen kritische Infrastrukturen wie Energieversorgung, Verkehr oder Krankenhäuser, stürzen Städte ins Chaos und gefährden Menschenleben. Szenen die man nur aus Filmen kennt geschehen längst so oder ähnlich in der realen Welt. Unternehmen müssen aus den Folgen von Cyberangriffen lernen, um sich effektiv schützen zu können. Dr. Nicolas Krämer berichtet vom Angriff auf das Lukaskrankenhaus in Neuss und gibt einen Ausblick auf die Lehren die daraus gezogen wurden. lesen

Mitarbeiter im Visier der Penetrationstester

Die fünf Phasen eines Penetrationstests

Mitarbeiter im Visier der Penetrationstester

IT-Landschaften von Unternehmen werden immer komplexer: Viele vertrauliche und businesskritische Daten befinden sich heute in der Cloud. Um ihre Systeme zu prüfen und Sicherheitslücken aufzuspüren, beauftragen Unternehmen in wachsendem Maße Penetration Tester. Doch was müssen Auftraggeber dabei bedenken, wie gehen Tester nach einem Fünf-Phasen-Modell konkret vor und wie sieht ein realer Test aus? lesen

Mit SOC as aService Gefahren frühzeitig erkennen

Vorteile durch Managed Security Services

Mit SOC as aService Gefahren frühzeitig erkennen

Cyber-Angriffe haben ein Ausmaß erreicht, das Unternehmen vor immer größere Herausforde­rungen stellt. Nur wenige verfügen aber in ihren eigenen Rechenzentren über die benötigten personellen und technischen Ressourcen für ein Security Operations Center (SOC), um der Cyber-Risiken Herr zu werden. Eine Lösung dafür bieten die Managed Services eines SOC as a Service. lesen

KAS-44 hilft beim Schutz von industriellen Anlagen

Kritische Systeme effektiv schützen

KAS-44 hilft beim Schutz von industriellen Anlagen

Für Unternehmen die kritische Infrastrukturen betreiben ist der Schutz vor Hackern und Co. von größter Bedeutung. Die Kommission für Anlagensicherheit (KAS) hat deshalb Leitsätze zur Prävention von Cyber-Angriffen formuliert. Das Merkblatt KAS-44 konkretisiert die Anforderungen der IT-Security für jene Betriebe, die unter die Störfallverordnung fallen. lesen

Wie man die Zuverlässigkeit eines Anbieters beurteilt

Trust-Ratings in der Security

Wie man die Zuverlässigkeit eines Anbieters beurteilt

Sicherheitsmängel bei Zulieferern und Dienstleistern dürfen Unternehmen nicht hinnehmen. Zum einen können sich die Mängel auf die eigene Datensicherheit auswirken. Zum anderen sieht der Datenschutz vor, dass ein Unternehmen Verantwortung für Datenschutzverletzungen der Auftragsverarbeiter übernehmen muss. Benötigt werden Trust Ratings für die Sicherheit bei Geschäftspartnern. lesen

Welche Aufgaben ein CISO übernehmen muss

Die Rolle des CISO im Unternehmen

Welche Aufgaben ein CISO übernehmen muss

IT-Sicherheit geht jeden Mitarbeiter und jede Abteilung an. Welche Aufgaben verbleiben dann in der Abteilung für IT-Security? Welche Rolle hat der CISO (Chief Information Security Officer) im Unternehmen? Die Antwort erscheint einfach, ist sie aber nicht. Die Aufgaben unterliegen einer hohen Dynamik und werden nicht nur durch Compliance-Vorgaben beeinflusst. lesen

ISMS nach modernisiertem IT-Grundschutz

Contechnet Inditor BSI

ISMS nach modernisiertem IT-Grundschutz

Die Softwarelösung Inditor BSI des deutschen Softwareherstellers Contechnet enthält die aktuellen Bausteine und Anforderungen aus dem BSI-Kompendium, die um Beschreibungen und Hilfestellungen ergänzt werden. Der Anwender erhält eine Lösung, die ihn zielorientiert zu einem ISMS gemäß IT-Grundschutz leitet. Die neuen Features wie z.B. ein Dokumentenvorlagesystem erleichtern weiterhin die Einführung. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44075860 / Definitionen)