KRITIS-Schutz 2022: Warum kritische Infrastrukturen jetzt handeln müssen

1 Min. Lesezeit

Energieversorger, Krankenhäuser, Wasserwerke – kritische Infrastrukturen sind zunehmend Ziel von Cyberangriffen. Das IT-Sicherheitsgesetz 2.0 verschärft die Pflichten. Doch viele KRITIS-Betreiber sind noch nicht auf dem geforderten Stand.

Das Wichtigste in Kürze

• IT-SiG 2.0 in Kraft: Seit Mai 2021 gelten verschärfte Pflichten für KRITIS-Betreiber.
• Frist läuft: Bis Mai 2023 müssen Systeme zur Angriffserkennung (SzA) implementiert sein.
• BSI-Meldepflicht: Erhebliche Störungen müssen dem BSI innerhalb von Stunden gemeldet werden.
• Neue Sektoren: Entsorgung und Rüstungsindustrie sind als KRITIS-Sektoren hinzugekommen.
• Unterfinanziert: Viele Stadtwerke und kommunale Versorger haben kein dediziertes Security-Budget.

Die verschärfte Bedrohungslage

Die Zahl der Cyberangriffe auf kritische Infrastrukturen hat sich laut BSI-Lagebericht 2021 gegenüber dem Vorjahr verdoppelt. Besonders betroffen: Gesundheitswesen (Universitätsklinikum Düsseldorf, Klinikum Wolfenbüttel), Energiesektor (Angriff auf Colonial Pipeline in den USA) und kommunale Verwaltungen (Landkreis Anhalt-Bitterfeld). Der Ukraine-Konflikt hat die Bedrohungslage zusätzlich verschärft.

Was das IT-Sicherheitsgesetz 2.0 fordert

Das IT-SiG 2.0 erweitert die Pflichten für KRITIS-Betreiber erheblich. Kernforderungen sind die Implementierung von Systemen zur Angriffserkennung (SzA) bis Mai 2023, erweiterte Meldepflichten bei Sicherheitsvorfällen, Einsatz von BSI-zertifizierten Produkten in bestimmten Bereichen und regelmäßige Nachweise gegenüber dem BSI alle zwei Jahre. Zudem können kritische Komponenten von nicht-vertrauenswürdigen Herstellern verboten werden.

Wo KRITIS-Betreiber stehen

Die Realität in vielen kommunalen Versorgungsunternehmen sieht düster aus. Stadtwerke mit wenigen hundert Mitarbeitern haben oft keine eigene IT-Security-Abteilung. OT-Systeme in der Wasser- oder Energieversorgung laufen auf veralteter Software, die nicht gepatcht werden kann. Und die Frist für Systeme zur Angriffserkennung rückt näher, ohne dass viele Betreiber begonnen haben. Managed Security Service Provider können hier eine Lösung sein.

Key Facts auf einen Blick

KRITIS-Sektoren: 11 (Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanzen, Transport, Medien, Staat, Entsorgung, Rüstung)

SzA-Frist: 1. Mai 2023

BSI-Meldepflicht: Unverzüglich, spätestens 24 Stunden bei erheblichen Störungen

Nachweis-Zyklus: Alle 2 Jahre gegenüber dem BSI

Quelle: IT-Sicherheitsgesetz 2.0, BSI KRITIS-Verordnung, 2022

Fakt: Die NIS2-Richtlinie erweitert den Kreis der KRITIS-pflichtigen Sektoren von 7 auf 18.

Fakt: Angriffe auf kritische Infrastrukturen stiegen laut ENISA 2024 um 38 Prozent gegenüber dem Vorjahr.

Häufige Fragen

Was sind Systeme zur Angriffserkennung (SzA)?

SzA umfassen technische Lösungen wie SIEM, IDS/IPS und Anomalie-Erkennung, die Cyberangriffe in Echtzeit erkennen und melden. Das IT-SiG 2.0 fordert deren Einsatz bis Mai 2023. Das BSI hat eine Orientierungshilfe veröffentlicht, die drei Reifegrade definiert.

Welche Unternehmen gelten als KRITIS?

KRITIS-Betreiber sind Unternehmen in 11 Sektoren, die bestimmte Schwellenwerte überschreiten. Ein Wasserwerk ab 22 Millionen Kubikmeter Jahresproduktion, ein Krankenhaus ab 30.000 vollstationären Fällen, ein Energieversorger ab 420.000 versorgten Personen. Die genauen Schwellenwerte stehen in der BSI-KRITIS-Verordnung.

Was passiert bei Nicht-Einhaltung?

Das IT-SiG 2.0 hat die Bußgeld-Obergrenze auf 2 Millionen Euro angehoben. Bei schwerwiegenden Verstößen kann das BSI Anordnungen treffen und den Betrieb einschränken. Zudem drohen Haftungsrisiken für Geschäftsführer, wenn KRITIS-Pflichten nicht erfüllt werden.

Wie können kleine Stadtwerke die Anforderungen erfüllen?

Managed Security Service Provider (MSSPs) bieten SOC-as-a-Service und Managed Detection and Response (MDR) an, die für kleine KRITIS-Betreiber wirtschaftlich sinnvoller sind als eigene Security-Teams. Branchenverbände wie der BDEW bieten zudem Branchenstandards und Vorlagen.

Gilt das IT-SiG 2.0 auch für Zulieferer von KRITIS-Betreibern?

Indirekt ja. KRITIS-Betreiber müssen die Sicherheit ihrer Lieferkette gewährleisten. Zulieferer kritischer Komponenten können vom BSI geprüft werden. De facto müssen auch Zulieferer höhere Sicherheitsstandards erfüllen, wenn sie KRITIS-Kunden beliefern wollen.

Weiterführende Lektüre im Netzwerk

KRITIS und Cloud-Security auf cloudmagazin: cloudmagazin.com

Managed Security Services für den Mittelstand auf mybusinessfuture: mybusinessfuture.com

KRITIS-Compliance als Vorstandsthema auf Digital Chiefs: digital-chiefs.de

Verwandte Artikel

• KI-gestütztes SOC: Wie automatisierte Security Operations den Fachkräftemangel lösen
• ChatGPT und Cybersecurity: Warum KI Angriff und Verteidigung verändert
• NIS2-Richtlinie verabschiedet: Was jetzt auf Unternehmen zukommt

Mehr aus dem MBF Media Netzwerk

cloudmagazin | MyBusinessFuture | Digital Chiefs

Quelle Titelbild: Pexels / Efe Burak Baydar

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer