KritisV

Auf dieser Internetseite wurde mehrfach das Thema Kritische Infrastrukturen (KRITIS) angesprochen. Es handelt sich dabei um Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Am 03. Mai 2016 wurde in diesem Zusammenhang eine einschlägige Rechtsquelle zur Bestimmung Kritischer Infrastrukturen in Form der sog. KRITIS-Verordnung erlassen, die in diesem Artikel näher beschrieben werden soll.

Bereits im Jahr 2009 definierte die Nationale Strategie zum Schutz Kritischer Infrastrukturen im Rahmen ihrer sogenannten KRITIS-Strategie neun Sektoren (Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Medien und Kultur, Wasser, Finanz- und Versicherungswesen, Ernährung, Staat und Verwaltung), so dass alle Organisationen aus diesen Branchen unabhängig von ihrer Größe zu den Kritischen Infrastrukturen des Landes zählten.

Auf der Grundlage des im gleichen Jahr neu gefassten Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, BSIG) wurde hinsichtlich der KRITIS eine Konkretisierung vorgenommen: Demgemäß sind Organisationen (Einrichtungen, Anlagen oder Teile davon) nur dann noch Betreiber Kritischer Infrastrukturen, wenn sie einem der sieben vorgenannten Sektoren außer Medien und Kultur sowie Staat und Verwaltung angehören, wenn sie kritische Dienstleistungen entsprechend der BSI-Kritisverordnung erbringen und wenn sie dabei die in der KritisV definierten Schwellenwerte erreichen oder überschreiten. Sie sind somit von hoher bis existenzieller Bedeutung für das Funktionieren des Gemeinwesens.

Nach der BSI-Verordnung sind Kritische Infrastrukturen Betriebsstätten, Maschinen, Geräte und sonstige ortsfeste oder -veränderliche Einrichtungen, die für die Erbringung einer kritischen Dienstleistung in den oben genannten Sektoren notwendig sind, und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde. Dabei stellt der Versorgungsgrad einen Wert dar, mittels dessen der Beitrag einer Anlage oder ihrer Teile in der jeweiligen Branche zur Versorgung der Allgemeinheit mit einer kritischen Dienstleistung bestimmt wird. Entsprechend handelt es sich bei den definierten Schwellenwerten um Grenzen, bei deren Erreichen oder Überschreiten der Versorgungsgrad einer Anlage oder ihrer Teile als bedeutend einzustufen ist.

Somit besitzen Betreiber Kritischer Infrastrukturen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen als potenzielle Angriffsziele für Cyber-Attacken im Gegensatz zu anderen Unternehmen ein besonders hohes Schadenspotenzial in Bezug auf die Gesellschaft. Daher müssen diese bestimmte Mindestanforderungen an die IT-Sicherheit erfüllen und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Für den Sektor Energie stellen 1. die Stromversorgung, 2. die Gasversorgung, 3. die Kraftstoff- und Heizölversorgung sowie 4. die Fernwärmeversorgung die dortigen kritischen Dienstleistungen dar. Daran schließen sich unmittelbar die dafür notwendigen einzelnen Bereiche Erzeugung, Übertragung und Verteilung von Strom (zu 1.), Förderung, Transport und Verteilung von Gas (zu 2.), Rohölförderung, Produktherstellung, Transport und Verteilung von Kraftstoffen und Heizöl (zu 3.), sowie die Erzeugung und Verteilung von Fernwärme (zu 4.) an.

Im Bereich der Stromversorgung wird beispielsweise ein Schwellenwert in Höhe von 420 MW installierter elektrischer Netto-Nennleistung für eine als Kritische Infrastruktur geltende Stromerzeugungsanlage (auch mit Wärmeauskopplung; KWK-Anlage) zugrundegelegt. (Dieser soll in naher Zukunft gesenkt werden.) Werden ein jährlicher Durchschnittsverbrauch von 7.375 kWh pro versorgter Person und ein Versorgungsradius der Erzeugungseinheit von 500.000 Menschen angenommen, so ergibt sich daraus eine durchschnittliche elektrische Arbeit von etwa 3.700 GWh/a, was bezogen auf die gesamte Stundenzahl eines Jahres (Grundlast) die in Anhang 1, Teil 3 der KritisV aufgeführte kritische Anlagenleistung ergibt.