Klärung und Erweiterung des KRITIS-Vokabulars - Kriterien und Vorgehensweise - BBK. Gemeinsam handeln. Sicher leben - Bundesamt ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Klärung und Erweiterung
des KRITIS-Vokabulars
Kriterien und Vorgehensweise
Stand
01-2021
BBK. Gemeinsam handeln. Sicher leben.Klärung und Erweiterung
des KRITIS-Vokabulars
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Herausgeber:
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Provinzialstraße 93
53127 Bonn
Telefon:+49 (0) 228 99550-0
Telefax:+49 (0) 228 99550-1620
Internet: www.bbk.bund.de
Bildnachweis: Altmann G. 2012/pixabay.com
Ausgabe: V.01 – Living Guideline
Stand: Januar 2021Living Guideline (01-2021) • Klärung und Erweiterung des KRITIS-Vokabulars • 3
Inhaltsverzeichnis
Vorwort 4
1. Klärung und Erweiterung des „KRITIS-Vokabulars“ 5
1.1 Abgrenzung der Begriffe „kritisch“ und „systemrelevant“ im KRITIS-Kontext 5
1.2 Abgrenzung der Begriffe „Kritische Infrastruktur“
und „Kritische Infrastruktur im Sinne von BSIG/ BSI-KritisV“ 74 • Klärung und Erweiterung des KRITIS-Vokabulars • Living Guideline (01-2021)
Vorwort
Die Bewältigung der Covid-19-Pandemie hat Die in der Lage gewonnenen Erkenntnisse
Behörden in Bund und Ländern auch im Hinblick erden nun in den oben genannten Bausteinen
w
auf den Schutz Kritischer Infrastrukturen vor be- zielgerichtet aufgearbeitet. Der so entstehende
sondere Herausforderungen gestellt. So mussten „Baukasten KRITIS: Krisenvorsorge und Krisen
viele Anfragen von Unternehmen (z. B. zu ihrer bewältigung im Kontext Kritischer Infrastruk-
Zugehörigkeit zu den Kritischen Infrastrukturen), turen“ kann als Grundlage zum strukturierten
aber auch von Behörden (z. B. zur Auslegung von Austausch zum Schutz Kritischer Infrastrukturen
Begriffen) in kurzer Zeit beantwortet werden. genutzt werden. Mit der Erstellung des Bau
kastens und dem Rückgriff auf die Baustein
Im Austausch mit Behörden und Unternehmen inhalte bei Bedarf wird auch ein Beitrag zur
über die aktuelle Lage haben sich vier teilweise Fortentwicklung des Schutzes Kritischer Infra-
stark miteinander verbundene Bausteine mit strukturen insgesamt geleistet.
besonderer Relevanz für den Schutz Kritischer
Infrastrukturen herauskristallisiert:
1. K
lärung von Begriffen und Erweiterung des
„KRITIS-Vokabulars“
2. Identifizierung und Priorisierung von
Kritischen Infrastrukturen und system
relevanten Einrichtungen
3. Formulierung spezifischer Anforderungen
an die Bewältigung besonderer Lagen auf der
Grundlage von Kernszenarien
4. Analyse von Potenzialen der Risiko
abschätzung und Entwicklung von Fähig
keiten zur Prognose im Kontext KRITISLiving Guideline (01-2021) • Klärung und Erweiterung des KRITIS-Vokabulars• 5
1. Klärung und Erweiterung des
„KRITIS-Vokabulars“
1.1 bgrenzung der Begriffe „kritisch“
A Kritische Infrastrukturen sind unmittelbar an der
und „systemrelevant“ im KRITIS- Bereitstellung kritischer Dienstleistungen beteiligt.
Kontext
An der Bereitstellung kritischer Dienstleistungen
Kritische Dienstleistungen (kDL) sind Dienstleis- können weitere Einrichtungen mittelbar beteiligt
tungen zur Versorgung der Allgemeinheit, deren sein, die den Betreibern Kritischer Infrastrukturen
Ausfall oder Beeinträchtigung zu erheblichen die Bereitstellung ermöglichen (z. B. indem sie
Versorgungsengpässen oder zu Gefährdungen der Güter zuliefern oder Dienstleistungen e rbringen,
öffentlichen Sicherheit führen würde. auf die die Betreiber angewiesen sind). Diese Ein-
richtungen gelten nicht als kritisch, aber dennoch
Beispiel: Für den Bund zählen zu den kritischen als systemrelevant. Das Attribut „systemrelevant“
Dienstleistungen im Sektor Energie die Strom-, gilt nicht per se für bestimmte Einrichtungstypen,
Gas-, Kraftstoff- und Heizölversorgung sowie die sondern bezieht sich ausschließlich auf die Beteili-
Versorgung mit Fernwärme. gung einer Einrichtung an der Bereitstellung einer
kritischen Dienstleistung.
Kritische Infrastrukturen (KRITIS) sind Orga
nisationen und Einrichtungen mit wichtiger Beispiel: Eine Wäscherei, die als externer Dienst
Bedeutung für das staatliche Gemeinwesen, leister für ein Krankenhaus tätig ist, kann mittelbar
bei deren Ausfall oder Beeinträchtigung nach an der medizinischen Versorgung beteiligt und
haltig wirkende Versorgungsengpässe, erhebli- damit systemrelevant sein. Dadurch sind allerdings
che Störungen der öffentlichen Sicherheit oder nicht automatisch alle Wäschereien als system
andere dramatische Folgen eintreten würden“ relevant zu betrachten.
(BMI 2009, KRITIS-Strategie).
Der Begriff systemrelevante Einrichtungen
Bund und Länder haben neun Sektoren Kritischer umfasst somit als Oberbegriff sowohl Kritische
Infrastrukturen definiert: Energie, Informations- Infrastrukturen, als auch weitere Einrichtungen
technik und Telekommunikation, Transport und mit einer mittelbaren Beteiligung an der Bereit-
Verkehr, Gesundheit, Wasser, Ernährung, Finanz- stellung kritischer Dienstleistungen. Demnach
und Versicherungswesen, Staat und Verwaltung sind zwar alle Kritischen Infrastrukturen gleich
sowie Medien und Kultur. Die Sektoren sind zeitig auch systemrelevant, aber nicht alle system-
wiederum in Branchen unterteilt. So gliedert sich relevanten Einrichtungen sind auch kritisch.
beispielsweise auf Bundesebene der Sektor Wasser
in die Branchen Trinkwasserversorgung und Ab-
wasserentsorgung.6 • Klärung und Erweiterung des KRITIS-Vokabulars • Living Guideline (01-2021)
kritische Dienstleistungen (kDL)
sind Dienstleistungen zur Versorgung der Allgemeinheit, deren Ausfall oder Beeinträchtigung zu erheb
lichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde. Die
kritischen Dienstleistungen werden in den von Bund und Ländern beschlossenen Sektoren bereitgestellt.
¾ An der Bereitstellung kritischer Dienstleistungen sind systemrelevante Einrichtungen entweder
unmittelbar (als Kritische Infrastrukturen) oder mittelbar beteiligt.
Kritische Infrastrukturen (KRITIS) weitere Einrichtungen
sind Organisationen und Einrichtungen Diese Einrichtungen stellen Güter und Dienst-
mit wichtiger Bedeutung für das staatliche leistungen bereit, die von den Betreibern Kriti-
Gemeinwesen, bei deren Ausfall oder Be scher Infrastrukturen benötigt werden, um eine
einträchtigung nachhaltig wirkende kritische Dienstleistung bereitstellen zu können
Versorgungsengpässe, erhebliche Störungen (z. B. als Zulieferer). Sie sind in dieser F
unktion
der öffentlichen Sicherheit oder andere mittelbar an der Bereitstellung kritischer
dramatische Folgen eintreten würden. Dienstleistungen beteiligt.
Die Kritischen Infrastrukturen lassen sich Diese Einrichtungen müssen sich nicht in die
den von Bund und Ländern beschlossenen Einteilung von Sektoren und Branchen einord-
Sektoren zuordnen. nen lassen.
systemrelevante Einrichtungen (im KRITIS-Kontext)
sind alle Anlagen und Einrichtungen, die entweder unmittelbar (KRITIS) oder mittelbar zur Bereitstellung kriti-
scher Dienstleistungen beitragen. Alle Kritischen Infrastrukturen sind demnach systemrelevant, aber nicht alle
systemrelevanten Einrichtungen sind Kritische Infrastrukturen.
Abbildung 1: Schematische Übersicht zur Abgrenzung der Begriffe „kritisch“ und „systemrelevant“
Weiterführende Erläuterungen: Beispiel: Die Wäscherei aus dem o. g. Beispiel ist für
die Kritische Infrastruktur „Krankenhaus“ system-
„Systemrelevanz“ beschreibt grundsätzlich die relevant, da sie zur Bereitstellung der kritischen
Bedeutung von Systembestandteilen zur Auf- Dienstleistung „medizinische Versorgung“ auf die
rechterhaltung von Systemen. Die Festlegung, was Wäscherei angewiesen ist.
als systemrelevant anzusehen ist, erfolgt daher
immer für ein definiertes „System“. Die Wäscherei ist damit auch für das staatliche
Gemeinwesen systemrelevant: Das staatliche
• Systemrelevant für eine Kritische Infrastruk- Gemeinwesen ist angewiesen auf die Bereitstellung
tur sind all jene Einrichtungen, auf die sie der kritischen Dienstleistung „medizinische Versor-
zur Bereitstellung „ihrer“ kritischen Dienst gung“ durch die Kritische Infrastruktur „Kranken-
leistung angewiesen ist. haus“ unter mittelbarer Beteiligung der Wäscherei.
• Systemrelevant für das staatliche Gemein
wesen sind all jene Einrichtungen, die Bei der Operationalisierung des Begriffs „system
unmittelbar (KRITIS) oder mittelbar an relevant“ wird zu konkretisieren sein, was eine
der Bereitstellung von kritischen Dienst „mittelbare Beteiligung“ ist, u. a. hinsichtlich der
leistungen beteiligt sind. Ebene (z. B. in Lieferketten, „Zulieferer vom Zu
lieferer“) oder des Zeithorizonts (z. B. Lieferant von
Verbrauchsmaterial vs. Hersteller von Ersatzteilen).Living Guideline (01-2021) • Klärung und Erweiterung des KRITIS-Vokabulars• 7
1.2 Abgrenzung der Begriffe „Kritische Hinweise zur Durchführung ebenenspezifischer
Infrastruktur“ und „Kritische Identifizierungsverfahren:
Infrastruktur im Sinne von
BSIG/ BSI-KritisV“ BBK (2019): Schutz Kritischer Infrastrukturen –
Identifizierung in sieben Schritten. Arbeitshilfe für
Bund und Länder haben sich auf neun Sektoren die Anwendung im Bevölkerungsschutz. (Praxis
Kritischer Infrastrukturen geeinigt. Innerhalb die- im Bevölkerungsschutz, Band 20). Bonn. https://
ser Sektoren werden kritische Dienstleistungen www.bbk.bund.de/SharedDocs/Downloads/BBK/
bereitgestellt (siehe Kap. 1.1). Bei der Bereitstel- DE/Publikationen/Praxis_Bevoelkerungsschutz/
lung der kritischen Dienstleistungen innerhalb PiB_20_Schutz Kritischer_Infrastrukturen_Identi-
der Sektoren haben Kritische Infrastrukturen fizierung in sieben Schritten.html
eine besonders große Bedeutung und werden
deshalb als „schutzwürdig“ im Sinne des Schutzes Das BSI-Gesetz (BSIG) wurde im Jahr 2015 durch
Kritischer Infrastrukturen betrachtet. das IT-Sicherheitsgesetz (IT-SiG) geändert. Damit
wurde u. a. das Ziel verfolgt, die IT-Sicherheit
Welche konkreten Anlagen und Einrichtungen von Kritischen Infrastrukturen „im Sinne des
als kritisch gelten, muss auf dieser Grundlage Gesetzes“ zu erhöhen. Welche Anlagen und
identifiziert werden. Dazu werden gewöhnlich Einrichtungen als „kritisch im Sinne des BSIG“
ein qualitatives und ein quantitatives Kriterium gelten, wird mit Hilfe der BSI-Kritisverordnung
kombiniert. Das qualitative Kriterium ist die (BSI-KritisV) bestimmt. Juristisch gesehen wird
unmittelbare Beteiligung an der Bereitstellung mit der BSI-KritisV der Adressatenkreis des BSIG
einer kritischen Dienstleistung (siehe Kap. 1.1). konkretisiert. Funktional betrachtet, leitet die
Der „mengenmäßige Beitrag“ einer Anlage oder BSI-KritisV zu einer konkreten ebenenspezifi-
Einrichtung an der Bereitstellung wird als quan- schen Identifizierung an. Das BSIG ist ein Bundes
titatives Kriterium verwendet und mit einem gesetz, damit ist die Betrachtungsebene der
Schwellenwert operationalisiert. Identifizierung auch die Bundesebene.
Kritische Infrastrukturen werden bezogen auf Für das in der BSI-KritisV implementierte Iden-
eine bestimmte Betrachtungsebene (ebenenspe- tifizierungsverfahren wurden bestimmte Festle-
zifisch) identifiziert. Welche konkreten Anlagen gungen getroffen (→ Anpassung des Verfahrens):
und Einrichtungen als kritisch gelten, kann sich
daher z. B. zwischen den Verwaltungsebenen • Das BSIG adressiert nur eine Teilmenge der
unterscheiden (Beispiel: „kritisch auf Ebene einer Sektoren Kritischer Infrastrukturen (sieben
Kommune“ ≠ „kritisch auf Bundesebene“). Dazu von neun), sodass sich auch das in der
wird das Identifizierungsverfahren auf die jeweili- BSI-KritisV beschriebene Identifizierungs
ge Betrachtungsebene angepasst, etwa indem eine verfahren auf diese Teilmenge beschränkt
Teilmenge der Sektoren ausgewählt oder Dienst- (qualitatives Kriterium).
leistungen ergänzt werden (→ qualitatives Krite- • Zudem wurde ein Regelschwellenwert von
rium) oder indem die Höhe der Schwellenwerte 500.000 versorgten Personen zugrunde gelegt,
justiert wird (→ quantitatives Kriterium). der in quantitativer Hinsicht die Bundes
perspektive abbildet (quantitatives Kriterium).8 • Klärung und Erweiterung des KRITIS-Vokabulars • Living Guideline (01-2021)
Demnach gilt: Weiterführende Erläuterungen:
• Die BSI-KritisV ist Grundlage einer ebe- Das BSIG hat als Fachgesetz die Verbesserung der
nenspezifischen Identifizierung. IT-Sicherheit zum Ziel. Die darin vorgesehenen
• Die in der BSI-KritisV für den konkreten Maßnahmen sind auf dieses Ziel ausgerichtet. Auch
Anwendungsfall getroffenen Festlegungen zu wenn die BSI-KritisV zunächst der Konkretisierung
den qualitativen und quantitativen Kriterien des Adressatenkreises des BSIG dient, können sich
sind nicht ohne weiteres auf andere Betrach- andere Regelungen darauf beziehen (vgl. Außen
tungsebenen übertragbar. wirtschaftsverordnung). Sofern kein direkter
• „Kritische Infrastrukturen“ ≠ „Kritische Infra- Bezug zur BSI-KritisV hergestellt wird, kann deren
strukturen im Sinne von BSIG/BSI-KritisV“ Gültigkeit in anderen Kontexten nicht automa-
tisch angenommen werden. Das in der BSI-KritisV
implementierte Identifizierungsverfahren ist eine
konkrete Anwendung der im o. g. Leitfaden in
abstrakter Form beschriebenen Methode.
Kritische Infrastrukturen (KRITIS) Kritische Infrastrukturen
im Sinne von BSIG/BSI-KritisV
Organisationen und Einrichtungen mit wichtiger Mittels der BSI-KritisV werden Kritische Infrastruk
Bedeutung für das staatliche Gemeinwesen, bei deren turen im Sinne des BSIG identifiziert.
Ausfall oder Beeinträchtigung nachhaltig wirkende Dabei geht es um Anlagen,
Versorgungsengpässe, erhebliche Störungen der
öffentlichen Sicherheit oder andere dramatische • die an der Bereitstellung von in der BSI-KritisV
Folgen eintreten würden (BMI 2009) genannten k ritischen Dienstleistungen
• in einer durch das BSIG festgelegten Teilmenge
Bund und Länder haben neun Sektoren Kritischer der Sektoren Kritischer Infrastrukturen
Infrastrukturen definiert:
Energie Energie
Ernährung Ernährung
Finanz- und Versicherungswesen Finanz- und Versicherungswesen
Gesundheit Gesundheit
Informationstechnik und Telekommunikation Informationstechnik und Telekommunikation
Medien und Kultur Transport und Verkehr
Staat und Verwaltung Wasser
Transport und Verkehr beteiligt sind,
Wasser
• und einem in der BSI-KritisV konkretisierten
Schwellenwert nach zur Versorgung von mehr als
500.000 Personen beitragen.
Welche konkreten Anlagen und Einrich- Die BSI-KritisV leitet zur Identifizierung kritischer
tungen als kritisch gelten, ist auf dieser Anlagen für eine Betrachtungsebene an (hier:
Grundlage ebenenspezifisch zu identifi- Bundesgesetz Bundesebene).
zieren (z. B. auf Ebene einer bestimmten
administrativen Einheit).
Abbildung 2: Schematische Übersicht zur Abgrenzung der Begriffe „Kritische Infrastruktur“ und „Kritische Infrastruktur im Sinne von BSIG/BSI-KritisV“www.bbk.bund.de
Sie können auch lesen
