Inkrafttreten der KRITIS-Verordnung des BSI: Sind Sie bereit?

Infrastrukturen

Nach zweijähriger Schonfrist ist die KRITIS-Verordnung nun endgültig in Kraft. Ab jetzt drohen Unternehmen, die unter die Verordnung fallen, bei Verstößen Bußgelder. Dieser Beitrag erklärt, was die KRITIS-Verordnung ist, welche Anforderungen Unternehmen erfüllen müssen und welche Finanzierungsmöglichkeiten zur Aufrüstung der unternehmenseigenen IT es gibt.

Was ist die KRITIS-Verordnung des BSI?

Die sogenannte KRITIS-Verordnung basiert auf dem seit Juli 2015 gültigen IT Sicherheitsgesetz. Das Gesetz soll dazu dienen, kritische IT Infrastrukturen besonders sicher zu machen. Am 3. Mai 2016 trat der erste Teil der KRITIS-Verordnung des Bundesamts für Sicherheit in der Informationstechnik in Kraft. Mit dieser Verordnung wird das IT Sicherheitsgesetz umgesetzt. Vom damaligen Gesetz waren Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung betroffen. Am 30.6.2017 trat die erste Verordnung zur Änderung der KRITIS-Verordnung in Kraft. Hier wurden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr in die Verordnung mit einbezogen.

Der 1. Juli 2019 ist für viele Unternehmen ein wichtiger Stichtag. Der Grund: Die KRITIS-Verordnung war zu diesem Zeitpunkt zwar bereits seit zwei Jahren in Kraft, es galt jedoch eine zweijährige Schonfrist. Verstöße gegen die Pflicht zur Einhaltung von IT Sicherheitsstandards werden erst zwei Jahre nach Inkrafttreten der Verordnung mit Bußgeldern bestraft. Konkret drohen Bußgelder, wenn der Pflicht der Verordnung nicht nachgekommen wird.

KRITIS-Verordnung – was sind kritische Infrastrukturen?

Die KRITIS-Verordnung bezieht sich auf insgesamt acht Branchen. Allerdings fallen nicht alle Unternehmen unter die Verordnung. Wer also ist Betreiber einer sogenannten kritischen Infrastruktur im Sinne des IT Sicherheitsgesetzes?

In der Verordnung finden sich verschiedene objektive Kriterien, mit denen Unternehmen feststellen können, ob sie unter die Verordnung fallen. In der Verordnung finden sich Schwellenwerte, die die Anwendung der Verordnung ausschließlich auf große Unternehmen beschränken sollen. Als Faustregel gilt hier, dass Unternehmen kritische Infrastruktur betreiben, wenn sie in einer der acht genannten Branchen 500.000 Personen versorgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass insgesamt nur ca. 2000 Unternehmen unter die Regelung fallen.

Das BSI definiert kritische Infrastrukturen wie folgt: „Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“.

Tatsächlich geht es darum, volkswirtschaftliche und gesellschaftliche Prozesse vor den Auswirkungen von Funktionsstörungen der IT zu schützen. Das BSI merkt dazu an, dass unsere Gesellschaft heute mehr denn je von technischen Systemen abhängig sei. So könnten industrielle Prozesse ohne elektrischen Strom ebenso nicht funktionieren wie Bankgeschäfte nicht ohne funktionierende Informations- und Kommunikationstechnik durchgeführt werden könnten.

Welche Anforderungen müssen nach der KRITIS-Verordnung erfüllt sein?

Um das Ziel eines verbesserten Schutzes der kritischen Infrastrukturen zu erreichen, sieht die KRITIS-Verordnung verschiedene Auflagen für betroffene Unternehmen vor. Dazu gehören ein regelmäßiger Nachweis über geeignete Vorkehrungen zur IT Sicherheit, die Benennung einer durchgängig erreichbaren Kontaktstelle und die zeitnahe Meldung von IT Störungen.

Regelmäßiger Nachweis über Maßnahmen in der IT Sicherheit

Die Pflicht zum regelmäßigen Nachweis findet sich in § 8a BSIG. Dort heißt es:

„Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“

Zusammengefasst:

  • Die Pflicht zum Nachweis besteht spätestens zwei Jahre nach Inkrafttreten der Verordnung
  • Unternehmen müssen Störungen von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit Ihrer IT Systeme so weit wie möglich vermeiden
  • Der Stand der Technik soll eingehalten werden
  • Technische Vorkehrungen sind angemessen, wenn der Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls steht

Nicht jedes Unternehmen muss selbst Lösungen für die IT Sicherheit erarbeiten. § 8a BSIG sieht in Abs. 2 auch die Möglichkeit vor, dass Branchenverbände Sicherheitsstandards vorschlagen können. Das BSI stellt dann auf Antrag fest, ob die Vorschläge geeignet sind, die Anforderungen der Richtlinie zu erfüllen.

Nachweispflicht alle zwei Jahre: Was ist zu tun?

Gemäß § 8a BSIG Abs. 3 müssen Betreiber kritischer Infrastrukturen mindestens alle zwei Jahre nachweisen, dass die Anforderungen erfüllt werden. Das BSI gestattet dabei Sicherheitsaudits, Prüfungen oder Zertifizierungen als Nachweise. Unternehmen müssen dem BSI die Ergebnisse dieser Prüfungen, Zertifizierungen etc. übermitteln. Die Behörde kann die Beseitigung der Sicherheitsmängel verlangen.

Auch unabhängig vom zweijährigen Nachweisintervall kann das BSI Betreiber kritischer Infrastrukturen hinsichtlich der Einhaltung der KRITIS-Verordnung überprüfen.

Zu den Nachweisen stellt das BSI eine Orientierungshilfe zur Verfügung. Diese Orientierungshilfe gibt es mittlerweile in einer neuen und überarbeiteten Version. In der Orientierungshilfe werden zum Beispiel die Begriffe Sicherheitsmangel, Sicherheitskategorie und Umsetzungsplan erläutert. Außerdem gibt es ein Muster für eine Mängelliste. Das BSI stellt Formulare zur Verfügung. Unternehmen können diese unter Anwendung der Orientierungshilfe ausfüllen und an das BSI übermitteln.

KRITIS-Verordnung – was ist der Stand der Technik?

Die KRITIS-Verordnung verpflichtet Betreiber kritischer Infrastrukturen dazu, Sicherheitsmaßnahmen nach dem Stand der Technik zu treffen. Was aber ist der Stand der Technik? Und wie wird dies dem BSI nachgewiesen?

Dazu hat das BSI die sogenannten branchenspezifischen Sicherheitsstandards (B3S) erfunden. Mit solchen B3S können Unternehmen oder Branchenverbände Sicherheitsstandards  erarbeiten und dem BSI vorlegen. Das BSI prüft dann die Eignung und stellt diese gegebenenfalls fest. Die Standards werden bei Prüfungen zum Stand der Technik angewandt. Die Behörde weist darauf hin, dass die B3S Branchen die Chance böten, selbst Vorgaben zum Stand der Technik zu formulieren. Außerdem verleihe ein solcher Standard Rechtssicherheit im Hinblick auf den technischen Standard, der bei einem Audit durch das BSI abgefragt wird. Das BSI kann bei der Ausarbeitung von B3S Standards beratend mitwirken.

Kritische Infrastrukturen – Kontaktstelle benennen

Eine weitere Auflage im Zusammenhang mit der KRITIS-Verordnung betrifft die Benennung einer Kontaktstelle. Betreiber einer kritischen Infrastruktur müssen innerhalb von sechs Monaten nach Inkrafttreten der Verordnung der Behörde gegenüber eine Kontaktstelle benennen. Die Betreiber müssen über diese Kontaktstelle jederzeit erreichbar sein. Die angegebene Adresse dient auch zum Empfang aller IT Sicherheitsinformationen des BSI.

Als Kontaktstelle soll den Angaben des Amtes zufolge ein Funktionspostfach dienen. Die persönliche E-Mail-Adresse eines einzelnen Mitarbeiters reicht nicht. Das BSI verlangt, dass die Kontaktstelle rund um die Uhr zugänglich ist. Dies bedeutet nicht nur, dass 24/7 E-Mails entgegengenommen werden. Informationen des Amtes müssen auch unverzüglich gesichtet und bewertet werden.

Was bedeutet dies in der Praxis? Das BSI weist darauf hin, dass Informationen in der Regel während der normalen Bürozeiten versendet werden. Die Behörde will jedoch nicht ausschließen, dass in Ausnahmefällen dringende Warnungen auch außerhalb der Bürozeiten und zum Beispiel an Feiertagen, Wochenenden oder nachts verschickt werden. Auch dann müssen die Kontaktstellen in der Lage sein, diese Informationen umgehend auszuwerten und zu reagieren.

Ein weiterer Praxistipp: Cyber Sicherheitswarnungen an werden durch das BSI so gestaltet, dass der Dringlichkeitsstatus und etwaiger Handlungsbedarf aus der E-Mail Betreffzeile herausgelesen werden können. Dadurch können, so führt es das BSI auf seiner Homepage aus, dauerhaft erreichbare Stellen eines Unternehmens akuten Handlungsbedarf erkennen und vorab festgelegte Personen informieren.

Ausnahmefälle

Bei diesen dauerhaft erreichbaren Stellen kann es sich den Ausführungen des BSI zufolge zum Beispiel um die Pforte, den Werkschutz oder sonstige Bereitschaftsdienste handeln.

Wer muss in einem solchen Fall informiert werden? Das BSI hat konkrete Vorstellungen darüber, was geeignete Ansprechpartner sind. Diese sollen über die fachliche Kompetenz zur Beurteilung des Vorfalls verfügen und in Prozesse zur Vorfallsbewältigung eingebunden sein. Meldet ein Betreiber kritischer Infrastruktur eine IT Störung gegenüber dem BSI, erhöht dies die Anforderungen der Behörde an die Verfügbarkeit der Kontaktstelle.

IT Störungen umgehend melden

Die KRITIS-Verordnung verpflichtet zur umgehenden Meldung von IT Störungen. Das BSI führt deshalb ausführlich aus, was eine IT Störung ist und wie die Meldung ablaufen muss. Die Meldepflicht für IT-Störungen gilt für alle Branchen, die von der KRITIS-Verordnung betroffen sind. Bevor eine Meldung erfolgen kann, muss zunächst die Kontaktstelle registriert werden. Die Behörde sendet dann auf dem Postweg weitere Informationen und ein Meldeformular.

Was dem BSI gemeldet werden muss, ergibt sich aus § 8b (4) BSIG. Zu melden sind demnach (Wortlaut des Gesetzes):

  • „Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,

und auch:

  • erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können. […]“

Es lohnt sich, kurz einen Blick auf die vier Begriffe Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu werfen.

Verfügbarkeit

Die Verfügbarkeit bezeichnet in der IT die Wahrscheinlichkeit, mit der ein System bestimmte Anforderungen erfüllt. Beträgt die Verfügbarkeit 100 %, ist ein System ununterbrochen verfügbar. Kommt es zu nicht geplanten Betriebsunterbrechungen, sinkt die Verfügbarkeit unter 100 %. Ist für ein System eine durchgängige Verfügbarkeit vorgesehen, müssen zum Beispiel Wartungsarbeiten im laufenden Betrieb stattfinden.

Integrität

Integrität bezeichnet in der IT Maßnahmen, die die unautorisierte Modifikation von Informationen verhindern sollen. Das Bundesamt für Sicherheit in der Informationstechnik versteht unter Integrität die Korrektheit und Unversehrtheit von Daten der korrekten Funktionsweise von Systemen. Integrität bezieht sich auf korrekte Inhalte, unmodifizierte Zustände (zum Beispiel sollen Nachrichten unverändert zugestellt werden), die Erkennung von Modifikation und die temporale Korrektheit (zum Beispiel Nachrichten in der richtigen Reihenfolge).

Authentizität

Authentizität bezieht sich auf die Verbindlichkeit von Daten, Dokumenten und Nachrichten. Die Daten müssen Sender und Empfänger sicher zugeordnet werden können. Authentizität soll sicherstellen, dass die Herkunft von Informationen zweifelsfrei nachgewiesen werden kann. Dazu werden zum Beispiel digitale Signaturen eingesetzt.

Vertraulichkeit

Vertraulichkeit bedeutet im IT-Bereich, dass Daten nur von Personen angesehen, gelöscht und verändert werden können, die dazu autorisiert sind. Dazu muss ein Zugangssystem eingerichtet werden. Zu Vertraulichkeit gehören auch Verschlüsselungstechnologien bei Datenübertragungen wie zum Beispiel E-Mails. Vertraulichkeit bezieht sich nicht nur auf Rechner und Server, sondern auch auf bauliche Einrichtungen. Ein Beispiel: Sind in einem Raum eines Gebäudes sensible Informationen einsehbar, muss der Zugang zu diesem Raum entsprechend verwaltet werden.

Ziel des IT Sicherheitsgesetzes

Das Ziel des IT Sicherheitsgesetzes besteht laut Bundesregierung darin, die IT-Systeme und digitale Infrastruktur Deutschlands abzusichern. Die Bundesregierung startete bereits im Jahr 2011 mit der Cybersicherheitsstrategie entsprechende Bemühungen. Diese wurden durch die 2014 beschlossene digitalen Agenda ergänzt. Das IT Sicherheitsgesetz ist das erste konkrete Ergebnis dieser digitalen Agenda.

Das Gesetz will insbesondere kritische Infrastrukturen wie Strom- und Wasserversorgung, das Gesundheits- und Finanzwesen sowie die Telekommunikation vor Ausfällen und den damit einhergehenden Konsequenzen schützen. Die Bundesregierung sieht in der Digitalisierung nahezu aller Lebensbereiche große ökonomische und gesellschaftliche Potenziale.

Mit der Digitalisierung gehen nach Auffassung der Regierung jedoch auch neue Gefährdungslagen einher, die einer schnellen und konsequenten Reaktion bedürfen. Dies betrifft zum Beispiel das Risiko von Cyberangriffen auf die IT-Infrastruktur.

IT-Finanzierung

Nicht nur aufgrund der KRITIS-Verordnung planen viele Unternehmen Aufstockungen im Bereich Ihrer IT. Dann stellt sich die Frage des am besten geeigneten Finanzierungsinstruments.

Welche Finanzierungsmöglichkeiten gibt es für Unternehmen?

Die meisten KMUs können bei der IT Finanzierung zwischen der Finanzierung durch Eigenkapital, einem Bankkredit und Leasing wählen. Bei einer Finanzierung über Eigenkapital wird vorhandene Liquidität eingesetzt, um neue IT-Infrastruktur anzuschaffen. Bei der Finanzierung über einen Bankkredit erfolgt die Anschaffung ebenfalls als Gegenstand des Anlagevermögens. Dann wird die Liquidität jedoch durch ein Darlehen generiert. Anders verhält es sich beim IT-Leasing. Hier werden die zu beschaffenen Gegenstände nicht gekauft, sondern lediglich von einer Leasinggesellschaft geleast. Unternehmen zahlen eine monatliche Leasingrate.

Vorteile und Nachteile der einzelnen Finanzierungslösungen

Der größte Vorteil einer Finanzierung über Eigenkapital besteht darin, dass keine Finanzierungskosten anfallen und auch kein Bankkredit beantragt werden muss. Im Gegenzug verringert sich jedoch die Liquidität des Unternehmens.

Wird neue IT über einen Bankkredit finanziert, verringert sich die Liquidität nicht. Dafür fallen Finanzierungskosten an. Zudem müssen Unternehmen einen Kredit beantragen. Durch den Bankkredit verringert sich die Eigenkapitalquote der Bilanz. Dies kann sich auf das Rating auswirken.

Leasing bietet erhebliche Vorteile. Da die Leasinggüter in der Bilanz des Leasinggebers verbleiben, führt der Abschluss eines Leasingvertrags nicht zu einer Verringerung der Eigenkapitalquote in der Bilanz. Dies wirkt sich günstig auf das Rating aus.

Jetzt unverbindliche Finanzierungsanfrage stellen

Erhalten Sie bis zu 5 individuelle Angebote ✔

Einsatzbereiche der Finanzierungslösungen

Leasingverträge können außerdem sehr flexibel gestaltet werden. Unternehmen können zum Beispiel mit dem Leasinggeber vereinbaren, dass IT-Systeme umgehend ausgetauscht werden, wenn neue Entwicklungen auf den Markt treten. Außerdem können die Leasingraten zum Beispiel durch mietfreie Startphasen und saisonal unterschiedlich hohe Raten an individuelle Bedürfnisse des Unternehmens angepasst werden. Leasing ermöglicht der Praxis zudem sehr unkomplizierte Erweiterungen des IT Bestands. Leasing wird deshalb regelmäßig angewandt, wenn schnell umfangreiche IT Lösungen benötigt werden, die jederzeit flexibel verändert werden können und zugleich die Liquidität bewahrt werden soll.