Der Referentenentwurf des BMI zur BSI-Kritisverordnung (BSI-KritisV) vom 13.01.2016 mit UPDATE vom 13.04.2016, 09.05.2016 und 18.08.2016

Die ausgefertigte Fassung der BSI-KritisV vom 22.04.2016 kann an dieser Stelle als pdf heruntergeladen oder aber auf der Website des BMJV eingesehen werden. Die letzte Arbeitsfassung inkl. der Entwurfsbegründung findet sich hier.


Nach Inkrafttreten des IT-Sicherheitsgesetzes im Sommer vergangenen Jahres waren die Pflichten, welche die Betreiber Kritischer Infrastrukturen für den Betrieb ihrer IT-Systeme treffen sollten, schon recht deutlich umrissen. Im Schwerpunkt stehen dabei die Einrichtung der technischen und organisatorischen Vorkehrungen (TOV) gem. § 8a BSIG sowie die Meldepflicht bei erheblichen IT-Sicherheitsvorfällen gem. § 8b BSIG. Weniger klar geregelt war hingegen, welche Betreiber und Anlagen im Einzelnen unter die neuen gesetzlichen Vorgaben fallen sollten. Ein halbes Jahr lang gab es Raum für Spekulationen, wobei eines immer deutlicher wurde: Die neue Rechtsverordnung wird kein kompletter Neuentwurf direkt vom Reißbrett sein, sondern auf schon vorhandenen Ressourcen basieren. Deshalb ist es schon vor Inkrafttreten der KritisV als äußerst sinnvoll zu erachten, einen Blick auf die Sektorstudien des BSI zu werfen.

Nach einer Veröffentlichung des ersten Referentenentwurfs der BSI-KritisV aus dem BMI vom 13. Januar 2016 in den entsprechenden Fachkreisen wird deutlich, dass sich die ursprüngliche Vermutung bestätigt hat: Die KritisV basiert inhaltlich in vielen Punkten auf den Sektorstudien, die nahezu für alle KRITIS-Domänen bereits vorhanden sind. Die Umsetzung des § 10 Abs. 1 S. 1 BSIG verfolgt dabei einen dreigeteilten Ansatz: Zunächst wird für die Sektoren Energie, Wasser, IuK + TK und Ernährung bestimmt, welche Dienstleistungen gerade aufgrund ihrer Bedeutung als kritisch anzusehen sind. Diese Festlegung orientiert sich an den in der Gesetzesbegründung benannten Dienstleistungen sowie an den Ergebnissen der Sektorstudien. In einem zweiten Schritt werden laut Darstellung des Referentenentwurfs diejenigen Kategorien von Anlagen identifiziert, die für die Erbringung der zuvor ermittelten kritischen Dienstleistungen erforderlich sind. Diese Festlegung von Anlagenkategorien beruht ebenfalls auf den Sektorstudien; hinzu kommen hier noch die Ergebnisse, die aus dem Branchendialog gewonnen wurden.

Der dritte Schritt des Inhalts der RVO nimmt noch feingranularer auf die einzelnen Sektoren Bezug: Hierbei geht es darum zu ermitteln, welche konkreten Anlagen oder Teile davon einen aus gesamtgesellschaftlicher Sicht bedeutenden Versorgungsgrad aufweisen. Dadurch soll eine Eingrenzung dahingehend erfolgen, dass ausschließlich die aus Bundessicht hinreichend bedeutsamen Anlagen mit dem Versorgungszweck der Allgemeinheit als KRITIS gelten. Diese feingranulare Bestimmung erfolgt anhand eines Schwellenwerts, der jeder Anlagenkategorie zugeordnet wird. Systematisch finden sich diese Angaben in den Anhängen der Verordnung; zu jeder Domäne soll es einen eigenen Anhang geben. Anlagen gelten dabei als kritisch, wenn sie den im jeweiligen Anhang aufgeführten Schwellenwert erreichen oder gar überschreiten.

Wie folgt werden die in den betroffenen Sektoren jeweils als kritisch anzusehenden Anlagen zurzeit zahlenmäßig konkretisiert, woraus sich eine Gesamtsumme von 650 Betreibern ergibt. Nach wie vor kann von einer Gesamtzahl von 2.000 betroffenen Betreibern ausgegangen werden, sobald auch der 2. Korb der RVO fertig gestellt ist:

  • Energie: Stromversorgung (120); Gasversorgung (80); Kraftstoff- und Heizölversorgung (40); Fernwärmeversorgung (80)
  • IKT: Sprach- und Datenübertragung (n.a., da TKG-regulierte Bereiche unabhängig von ihrer Identifizierung als Kritische Infrastruktur schon den Meldepflichten gem. TKG unterliegen); Datenspeicherung und -verarbeitung (30)
  • Ernährung: Lebensmittelversorgung (70)
  • Wasser: Abwasserbeseitigung (80); Trinkwasserversorgung (150)

Für die Erfüllung der aus dem BSIG folgenden Meldepflicht soll sich zusammengenommen ein jährlicher Kostenaufwand in Höhe von 3 Millionen Euro ergeben. Im Verordnungsentwurf selbst sind zurzeit sieben Paragraphen vorgesehen:

  • § 1 Begriffsbestimmungen: Definitionen von Anlage, Betreiber, kritischer Dienstleistung, Versorgungsgrad, branchenspezifischem Schwellenwert
  • § 2 Sektor Energie: Benennung der wegen ihrer Bedeutung für das Funktionieren des Gemeinwesens kritischen Dienstleistungen in diesem Sektor (s.o.) + Verweis auf die Anlage zur RVO mit der Abbildung der branchenspezifischen Schwellenwerte
  • § 3 Sektor Wasser: Benennung der wegen ihrer Bedeutung für das Funktionieren des Gemeinwesens kritischen Dienstleistungen in diesem Sektor (s.o.) + Verweis auf die Anlage zur RVO mit der Abbildung der branchenspezifischen Schwellenwerte
  • § 4 Sektor Ernährung: Benennung der wegen ihrer Bedeutung für das Funktionieren des Gemeinwesens kritischen Dienstleistungen in diesem Sektor (s.o.) + Verweis auf die Anlage zur RVO mit der Abbildung der branchenspezifischen Schwellenwerte
  • § 5 Sektor Informationstechnik und Telekommunikation: Benennung der wegen ihrer Bedeutung für das Funktionieren des Gemeinwesens kritischen Dienstleistungen in diesem Sektor (s.o.) + Verweis auf die Anlage zur RVO mit der Abbildung der branchenspezifischen Schwellenwerte
  • § 6 Evaluierung: Evaluationsvorschrift zur Bewertung u.a. der branchenspezifischen Kategorien und Schwellenwerte vier Jahre nach Inkrafttreten der RVO
  • § 7 Inkrafttreten

Auf den Verordnungstext folgen zurzeit vier Anhänge für jeweils einen der vorgenannten Sektoren:

  • Anhang 1 – Anlagenkategorien und Schwellenwerte im Sektor Energie: Teil 1 Grundsätze und Fristen; Teil 2 Berechnungsformeln zur Ermittlung der branchenspezifischen Schwellenwerte; Teil 3 Anlagenkategorien und Schwellenwerte (inkl. zahlenmäßiger Vorgaben der KRITIS-relevanten, zuvor ermittelten Schwellenwerte)
  • Anhang 2 – Anlagenkategorien und Schwellenwerte im Sektor Wasser: Teil 1 Grundsätze und Fristen; Teil 2 Berechnungsformeln zur Ermittlung der branchenspezifischen Schwellenwerte; Teil 3 Anlagenkategorien und Schwellenwerte (inkl. zahlenmäßiger Vorgaben der KRITIS-relevanten, zuvor ermittelten Schwellenwerte)
  • Anhang 3 – Anlagenkategorien und Schwellenwerte im Sektor Ernährung: Teil 1 Grundsätze und Fristen; Teil 2 Berechnungsformeln zur Ermittlung der branchenspezifischen Schwellenwerte; Teil 3 Anlagenkategorien und Schwellenwerte (inkl. zahlenmäßiger Vorgaben der KRITIS-relevanten, zuvor ermittelten Schwellenwerte)
  • Anhang 4 – Anlagenkategorien und Schwellenwerte im Sektor Informationstechnik und Telekommunikation: Teil 1 Grundsätze und Fristen; Teil 2 Berechnungsformeln zur Ermittlung der branchenspezifischen Schwellenwerte; Teil 3 Anlagenkategorien und Schwellenwerte (inkl. zahlenmäßiger Vorgaben der KRITIS-relevanten, zuvor ermittelten Schwellenwerte)

Auf die Anhänge folgt ein umfassender, mehr als 20-seitiger ausführlicher Begründungsteil. Was den Zeitplan betrifft, so ist die Fertigstellung der KritisV für Mitte März 2016 geplant. Mit dem Inkrafttreten der RVO am Tag nach ihrer Verkündung beginnen dementsprechend auch die Umsetzungsfristen für die TOV sowie für die Meldepflicht nach BSIG zu laufen.


Der aktuelle Entwurf der BSI-KritisV ist auch an dieser Stelle sowie auf den Seiten des BMI zum Download verfügbar. UPDATE vom 23.02.2016: Heute hat sich der IT-Sicherheitsverband TeleTrusT ebenfalls im Rahmen einer Stellungnahme zum Entwurf der BSI-KritisV geäußert. Grundsätzlich werden die Regelungen begrüßt, nur vereinzelt wird Nachbesserungsbedarf gesehen. UPDATE vom 13.04.2016: Heute wurde die BSI-KritisV offiziell vom Bundeskabinett verabschiedet, die geänderte Fassung kann an dieser Stelle abgerufen werden. Die Rechtsvorschrift tritt voraussichtlich Anfang Mai 2016 mit der Verkündung im Bundesgesetzblatt in Kraft – ab diesem Zeitpunkt fangen folglich auch die Umsetzungsfristen gem. den Vorgaben des IT-SiG an zu laufen. Durch die neue Verordnung ist es den Betreibern der Sektoren Energie, Wasser, Ernährung sowie Informations- und Kommunikationstechnik (IKT) nunmehr möglich zu bestimmen, ob sie durch die Vorgaben des IT-SiG betroffen werden. Zwar werden noch nicht alle KRITIS-Sektoren durch die neue Verordnung angesprochen, für die noch verbleibenden Sektoren Transport und Verkehr, Gesundheit und Finanz- und Versicherungswesen ist für Anfang 2017 aber eine Änderungsverordnung geplant, welche die bestehenden Konkretisierungsvorgaben ergänzen wird. Für weitere Informationen siehe auch die Seite des Bundesministeriums des Innern (BMI). UPDATE vom 09.05.2016: Die KritisV ist nunmehr seit dem 03.05.2016 in Kraft, nachdem die Bundesregierung dem Erlass zugestimmt hat.


Siehe ganz aktuell auch die Präsentation zur Entwicklung des deutschen und europäischen IT-Sicherheitsrechts im Jahre 2016, speziell bezogen auf die Energieversorger. Die online zur Verfügung gestellte Version entspricht dem gleichnamigen Vortrag vom 03.02.2016 auf der DKE-Fachtagung „IT-Security in der Praxis der Netz- und Stationsleittechnik“ in Frankfurt am Main.

Gefördert vom BMBF

Schreibe einen Kommentar