Author Rechtsanwalt Dr. Tobias Beltle

Die novellierte KritisV – Neue Pflichten für Betreiber Kritischer Infrastrukturen

Veröffentlicht am Categories Blog Tags · ·

Die aktualisierte KritisV: Erweiterte Anforderungen für Betreiber Kritischer Infrastrukturen

Mit der am 1. Januar 2024 in Kraft getretenen novellierten Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) hat der Gesetzgeber die Anforderungen für Betreiber Kritischer Infrastrukturen (KRITIS) deutlich ausgeweitet und konkretisiert. Die Verordnung wurde auf Grundlage von § 10 Absatz 1 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) erlassen und dient der näheren Bestimmung von Sektoren, Anlagen und Schwellenwerten, deren Betreiber als KRITIS-Betreiber besonderen Sicherheitsanforderungen unterliegen.

Die Neufassung steht im Kontext der gesamtstrategischen Neuausrichtung der IT-Sicherheitsarchitektur in Deutschland, insbesondere in Verbindung mit dem IT-Sicherheitsgesetz 2.0, der geplanten Umsetzung der NIS2-Richtlinie (EU) 2022/2555 und dem geplanten KRITIS-Dachgesetz.

Anwendungsbereich und Erfassung als KRITIS-Betreiber

Bevor Unternehmen oder Institutionen sich mit den umfangreichen Pflichten der KritisV befassen, ist zwingend im ersten Schritt zu klären, ob sie überhaupt in den Anwendungsbereich der Verordnung fallen und somit als Betreiber kritischer Infrastrukturen eingestuft. Denn: Nur wenn die Voraussetzungen für die Einstufung als KRITIS-Betreiber erfüllt sind, gelten die Regelungen der KritisV überhaupt. Andernfalls besteht keine Pflicht zur Umsetzung der in der Verordnung genannten IT-Sicherheitsmaßnahmen, Meldepflichten oder Nachweisanforderungen gegenüber dem BSI.

Nach § 1 Absatz 1 KritisV i.V.m. § 2 Absatz 10 BSIG gelten Betreiber als KRITIS-Betreiber, sofern sie eine Anlage betreiben, die in einem in der Anlage zur Verordnung definierten Sektor liegt und dort einen bestimmten Schwellenwert überschreitet. Betroffen sind die Sektoren:

  • Energie (§ 2 KritisV)
  • Wasser (§ 3 KritisV)
  • Ernährung (§ 4 KritisV)
  • Informationstechnik und Telekommunikation (§ 5 KritisV)
  • Gesundheit (§ 6 KritisV)
  • Finanz- und Versicherungswesen (§ 7 KritisV)
  • Transport und Verkehr (§ 8 KritisV)
  • Siedlungsabfallentsorgung (§ 9 KritisV)

Die Schwellenwerte richten sich jeweils nach konkreten, quantitativen Kriterien wie etwa Versorgungsmenge, Produktionskapazität oder Anzahl versorgter Personen. Sie ergeben sich aus den Anlagen zu den §§ 2 bis 9 KritisV. Maßgeblich ist grundsätzlich der aktuelle Betrieb, unabhängig von der Rechtsform oder Eigentümerstruktur des Betreibers.

Dabei ist der häufig zitierte Schwellenwert von 500.000 versorgten Personen nicht als allgemeine Mindestgrenze zu verstehen, sondern wurde als Referenzwert zur Festlegung konkreter anlagenspezifischer Schwellenwerte herangezogen. Hintergrund ist die staatliche Notfallvorsorge: Ausfälle, die mehr als etwa 500.000 Personen betreffen, überschreiten regelmäßig die Kompensationsfähigkeit vorhandener Notfallkapazitäten. Anlagen mit entsprechender Reichweite gelten daher als besonders schutzwürdig.

Unternehmen, die in diesen Bereichen tätig sind, sollten die für sie relevanten Anhänge sorgfältig prüfen und auf Basis eigener Betriebsdaten die potenzielle KRITIS-Einstufung analysieren.

Rechtspflichten nach BSIG:

Mit der Feststellung als KRITIS-Betreiber sind erhebliche rechtliche Verpflichtungen verbunden, insbesondere:

Meldepflicht (§ 8b Absatz 4 BSIG):

KRITIS-Betreiber haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse unverzüglich dem BSI zu melden.

Pflicht zur Umsetzung von IT-Sicherheitsmaßnahmen (§ 8a Absatz 1 BSIG):

Betreiber müssen „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen“ ihrer informationstechnischen Systeme treffen. Dabei ist der „Stand der Technik“ maßgeblich (§ 8a Absatz 1 Satz 2 BSIG). Diese Maßnahmen sind mindestens alle zwei Jahre gegenüber dem BSI durch ein Prüfungsdokumentationsverfahren nachzuweisen (§ 8a Absatz 3 BSIG).

Benennung einer Kontaktstelle (§ 8b Absatz 3 BSIG):

Es ist eine ständig erreichbare Kontaktstelle gegenüber dem BSI zu benennen.

Zusammenarbeit mit dem BSI (§ 8b BSIG):

Auf Anforderung des BSI sind Betreiber zur Mitwirkung bei der Aufklärung von Sicherheitsvorfällen sowie zur Bereitstellung relevanter Informationen verpflichtet.

Die Einhaltung dieser Pflichten ist nicht nur formaler Natur, sondern dient der Aufrechterhaltung der staatlichen Sicherheitsarchitektur und der Resilienz gegenüber hybriden Bedrohungslagen.

Sanktionen bei Verstößen

Die Nichtbeachtung der gesetzlichen Pflichten kann erhebliche rechtliche und wirtschaftliche Konsequenzen haben. Verstöße gegen § 8a oder § 8b BSIG stellen Ordnungswidrigkeiten dar und können nach § 14 Absatz 1 BSIG mit einer Geldbuße von bis zu 2 Millionen Euro geahndet werden. Daneben kommen aufsichtsrechtliche Maßnahmen nach dem Verwaltungsverfahrensrecht (z.B. Anordnungen, Betriebsuntersagungen) in Betracht.

Für Unternehmen besonders relevant ist auch die drohende Reputationsschädigung sowie eine etwaige zivilrechtliche Haftung, wenn infolge mangelnder IT-Sicherheit personenbezogene Daten (Art. 32 DSGVO, der sich mit der Sicherheit der Verarbeitung befasst) kompromittiert werden und ein Schaden entsteht (Art. 82 DSGVO).

Schnittstellen zum Datenschutzrecht

Die KritisV entfaltet unmittelbare Wechselwirkungen zum Datenschutzrecht, insbesondere zur Datenschutz-Grundverordnung (DSGVO). Betreiber, die zugleich Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO sind, müssen sicherstellen, dass die nach Art. 32 DSGVO geforderten technischen und organisatorischen Maßnahmen mit den Anforderungen des § 8a BSIG in Einklang stehen.

Insbesondere bei Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO), Kommunikationsdaten oder bei der Erhebung von Verkehrsdaten ergibt sich eine Doppelpflichtenlage. Eine Sicherheitsverletzung kann sowohl eine Meldepflicht gegenüber dem BSI (BSIG) als auch gegenüber der Datenschutzaufsicht (Art. 33 DSGVO) auslösen. Betroffene Unternehmen müssen daher abgestimmte Incident-Response-Pläne etablieren.

Ausblick: KRITIS-Dachgesetz und NIS2-Umsetzung

Die Änderung der KritisV ist nur ein erster Schritt: Der Gesetzgeber plant derzeit das KRITIS-Dachgesetz, das sämtliche kritischen Infrastrukturen in einem einheitlichen Gesetz zusammenführen und neue Aufsichtsinstrumente etablieren soll. Parallel war bereits die Umsetzung der NIS2-Richtlinie (EU) 2022/2555 bis zum 17. Oktober 2024 vorgesehen, die den Kreis der verpflichteten Unternehmen erheblich ausweitet – etwa auf mittelgroße Unternehmen ab 50 Mitarbeitenden und 10 Mio. € Jahresumsatz in sicherheitsrelevanten Branchen. Mit der Umsetzung der NIS-2-Richtlinie (NIS-2-RL) in nationales Recht wird das BSI für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde. Dadurch werden auch mehr Unternehmen und Institutionen und Organisation mit weiteren rechtlichen Vorgaben und Normen konfrontiert, die zu beachten sind.

Diese Vorschriften werden insbesondere das Compliance- und Haftungsregime weiter verschärfen und zusätzliche Anforderungen an Governance, Risikomanagement und Meldewege stellen.

Die deutschen Unternehmen, Institutionen und Organisationen werden daher ab dem Inkrafttreten des deutschen NIS-2-Umsetzungsgesetzes betroffen, das voraussichtlich im Herbst 2025 in Kraft treten wird, jedenfalls sofern sie dem Anwendungsbereich unterfallen. Daher ist es wichtig, sich rechtzeitig vorzubereiten und rechtzeitig zu prüfen, ob man von den Regelungen der NIS-2 betroffen ist oder nicht.Denn betroffene Unternehmen, Institutionen und Organisationen müssen die neuen Anforderungen ab Inkrafttreten des deutschen Umsetzungsgesetzes erfüllen.

Handlungsempfehlungen für betroffene Unternehmen

Unternehmen, die dem Anwendungsbereich der novellierten Kritisverordnung unterfallen oder künftig unterfallen könnten, sind gehalten, zeitnah geeignete organisatorische, technische und rechtliche Maßnahmen zur Erfüllung ihrer Pflichten zu ergreifen. Die nachfolgenden Maßnahmen dienen der risikoadäquaten Vorbereitung auf aufsichtsrechtliche Anforderungen, reduzieren Haftungsrisiken und stellen die ordnungsgemäße Funktion kritischer Versorgungsstrukturen sicher.

Überprüfung der Schwellenwerte und Einordnung als KRITIS-Betreiber

Zunächst sollte eine strukturierte Schwellenwertanalyse durchgeführt werden.

Diese Schwellenwertanalyse basiert auf den Anlagen zu §§ 2 bis 9 KritisV, die sektorspezifisch definieren, ab welcher Kapazität oder Wirkung eine Anlage als Kritische Infrastruktur einzustufen ist. Maßgeblich sind objektive Parameter wie z.B. die jährliche Energieabgabe in Gigawattstunden, die Anzahl der versorgten Personen im Wassersektor oder das tägliche Durchsatzvolumen oder die Abhängigkeit von automatisierter Verkehrssteuerung  im Transportsektor.

Betreiber, die erstmals unter die Definition fallen – insbesondere durch Ausweitung bestehender Anlagen oder Reorganisation – müssen gemäß § 8a Abs. 1 BSIG spätestens bis zum ersten Werktag, der darauf folgt, dass diese als Betreiber einer Kritischen Infrastruktur gelten, angemessene und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen. Gemäß § 8b Abs. 3 BSIG müssen sie eine formale Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) vornehmen.

Umsetzung eines Informationssicherheitsmanagementsystems (ISMS)

Mit der Feststellung als KRITIS-Betreiber geht die Verpflichtung einher, ein angemessenes Informationssicherheitsmanagementsystem (ISMS) zu implementieren. Dies ergibt sich aus § 8a Abs. 1 BSIG, wonach Betreiber verpflichtet sind, „angemessene organisatorische und technische Vorkehrungen“ zu treffen, um Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden.

Ein etabliertes ISMS – etwa auf Grundlage der ISO/IEC 27001 oder branchenspezifischer Sicherheitsstandards (B3S) – dient der systematischen Risikoidentifikation, der Umsetzung von Schutzmaßnahmen sowie der kontinuierlichen Verbesserung der IT-Sicherheitslage. Die Wirksamkeit des ISMS muss durch geeignete Verfahren überprüfbar sein.

Nachweisführung gegenüber dem BSI durch Prüfberichte

Nach § 8a Abs. 3 BSIG sind KRITIS-Betreiber verpflichtet, alle zwei Jahre nachzuweisen, dass sie die vorgeschriebenen Sicherheitsvorkehrungen umgesetzt haben. Dieser Nachweis erfolgt in Form eines umfangreichen Prüfberichts, der von einer sachverständigen Stelle oder einem qualifizierten Prüfer erstellt werden muss.

Der Prüfbericht muss insbesondere eine Risikoanalyse, eine Bewertung der getroffenen technischen und organisatorischen Maßnahmen sowie ggf. Empfehlungen zur Mängelbeseitigung enthalten. Der Bericht ist dem BSI unaufgefordert vorzulegen. Fehlerhafte, lückenhafte oder unterlassene Prüfberichte können zu aufsichtsrechtlichen Maßnahmen führen (§ 14 Abs. 1 Nr. 4 BSIG).

Integration der Anforderungen in bestehende Datenschutz-Compliance

Die nach dem BSIG und der KritisV geforderten Sicherheitsmaßnahmen betreffen oftmals auch die Verarbeitung personenbezogener Daten. Die betroffenen Unternehmen sind daher gehalten, ihre datenschutzrechtlichen Prozesse – insbesondere gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung“) – auf Kohärenz mit den IT-Sicherheitsanforderungen des BSIG zu überprüfen.

Dies gilt umso mehr, wenn besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO betroffen sind, etwa Gesundheitsdaten oder biometrische Informationen. Im Falle eines Sicherheitsvorfalls kann eine doppelte Meldepflicht ausgelöst werden – einerseits gegenüber dem BSI (§ 8b Abs. 4 BSIG), andererseits gegenüber der zuständigen Datenschutzaufsichtsbehörde (Art. 33 DSGVO). Daher sollte ein koordinierter Incident-Response-Plan entwickelt werden, der beide Rechtsbereiche integriert.

Etablierung einer strategischen Notfall- und Krisenorganisation

Ein zentrales Element der operativen Resilienz ist die Einrichtung einer belastbaren Notfall- und Krisenorganisation, die sicherstellt, dass sowohl technische Ausfälle als auch Cyberangriffe strukturiert bewältigt werden können. Dazu gehört die Benennung eines ständigen Ansprechpartners gegenüber dem BSI (§ 8b Abs. 3 BSIG), aber auch der Aufbau interner Kommunikationswege, Entscheidungsbefugnisse, Eskalationsstufen und die Steuerung kritischer Systeme in Echtzeit.

Die Krisenorganisation sollte regelmäßig in realitätsnahen Übungen („Tabletop Exercises“) auf ihre Funktionsfähigkeit geprüft werden. Im Ernstfall kann ein unzureichendes Reaktionsvermögen nicht nur die Aufrechterhaltung der kritischen Dienstleistung oder eines Verkehrssystems gefährden, sondern auch bußgeld- und haftungsrechtliche Konsequenzen nach sich ziehen.

Fazit

Die novellierte KritisV konstituiert für Unternehmen und Institutionen sowie Organisationen in den relevanten Versorgungssektoren eine erhebliche Ausweitung ihrer Pflichten im Bereich IT-Sicherheit und staatlicher Transparenz.

Es reicht nicht mehr aus, Sicherheitsmaßnahmen intern „im guten Glauben“ umzusetzen – vielmehr verlangt das Gesetz ein dokumentiertes, überprüfbares und anerkanntermaßen angemessenes Sicherheitsniveau.

Wer die neuen Vorgaben verkennt oder verzögert umsetzt, riskiert nicht nur empfindliche Bußgelder (bis zu 2 Mio. € gem. § 14 BSIG), sondern auch langfristige Schäden für Reputation, die Erbringung systemrelevanter Leistungen und Versorgungssicherheit.

Die rechtzeitige Implementierung einer rechtskonformen KRITIS-Compliance ist daher keine Option, sondern zwingende Voraussetzung für verantwortliches Handeln in sensiblen Infrastrukturbereichen. Unternehmen und Institutionen  sowie Organisationen sollten daher frühzeitig und strukturiert klären, ob sie KRITIS-relevant sind – andernfalls bestehen keine spezifischen Pflichten nach der BSI-KritisV.

Prüfen Sie daher für Ihr Unternehmen, Ihre Institution oder Ihre Organisation daher im ersten Schritt, ob Sie von der KritisV betroffen sind oder nicht.Gleiches gilt für den Anwendungsbereich der NIS-2. Auch hier sollte rechtzeitig geprüft werden, ob man dem Anwendungsbereich unterfällt, damit unternehmensintern rechtzeitig Vorbereitungen für eine rechtskonforme Umsetzung getroffen werden können.

Gerne können wir Sie bei der Prüfung, ob Sie überhaupt von diesen Regelungen betroffen sind, unterstützen. Wenn Sie als Unternehmen, Organisation oder Institution vom Anwendungsbereich betroffen sind, stehen wir Ihnen gerne auch bei der Umsetzung der gesetzlichen Vorgaben unterstützend und beratend zur Seite.

Haben Sie Fragen oder benötigen Sie weitere Informationen?
Rechtsanwalt Dr. Tobias Beltle berät Sie gerne.

Rechtsanwalt Dr. Tobias Beltle ist Fachanwalt für gewerblichen Rechtsschutz, Fachanwalt für Informationstechnologierecht (IT-Recht) und Mediator. Er ist in seiner anwaltlichen Tätigkeit spezialisiert in den Bereichen des gewerblichen Rechtsschutzes und des IT-Rechts.

Alle Beiträge von Rechtsanwalt Dr. Tobias Beltle anzeigen