An die einschlägigen Verbände wurde heute ein Vorab-Entwurf der Änderung der KRITIS-Verordnung zur Anhörung verschickt. Das BMI sieht darin signifikante neue bzw. verschärfte Anforderungen für KRITIS-Betreiber und – erstmalig – auch andere Unternehmen vor. Der Entwurf ist wohl innerhalb der Bundesregierung, anders als ein typischer Referentenentwurf, noch nicht abschließend abgestimmt.
KRITIS-Betreiber bleibten weiter verpflichtet, ihre Anlagen für kritische Dienstleistungen (kDL) nach „Stand der Technik“ abzusichern, was alle zwei Jahre durch zu überprüfen ist. Verstöße könnten zukünftig jedoch mit bis zu 20 Millionen Euro für juristische Personen geahndet werden (heute: 100.000 Euro).
BMI, Auswärtiges Amt und zuständiges Fachministerium könnten zukünftig den Einsatz bestimmter kritischer Komponenten verbieten („Lex Huawei“).
Betreiber würden zudem verpflichtet, Systeme zur „automatischen Angriffserkennung“ (lies: SIEM, ggf. SOC) zu nutzen und die Daten aus diesen vier Jahre lang aufzubewahren,
Kein neuer Schwellwert, aber neue Schwellen
Zwar bleibt die Orientierungsgröße von 500.000 mit einer kDL versorgten Menschen für die Einstufung als Kritis-Anlage erhalten. Im Detail wurde deren Interpretation aber verändert und ausgeweitet.
Für Verkehrsbetriebe etwa würde sich die Formulierung von „125 Millionen Fahrgästen im Jahr“ zu „125 Millionen unternehmensbezogener Fahrgastfahrten im Jahr“ konkretisieren, was Querelen wie bei der BVG (inzwischen beigelegt) die Grundlage entzieht.
Software und IT-Dienste als KRITIS
Neu als KRITIS-Anlagen werden nun „Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“ genannt. Hier ist jedoch noch eine konkrete Interpretation vonnöten.
Bis zum 17. Mai erwartet das BMI die Stellungnahmen der Verbände. Am 26. Mai ist eine Anhörung per Videokonferenz terminiert.