Kritische Infrastruktur (KRITIS)
Nach Angaben des BSI gelten für Organisationen mit wichtiger Bedeutung für das staatliche Gemeinwesen (KRITIS) bestimmte Regeln, bei deren Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dies bezieht sich vor allem auf die Bereiche
- Energie
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit
- Medien und Kultur
- Wasser
- Ernährung
- Finanz- und Versicherungswesen
- Siedlungsabfallentsorgung
- Staat und Verwaltung
hinzukommen seit IT-Sicherheitsgesetz 2.0:
- Rüstungshersteller und Hersteller von Produkten für staatliche Verschlusssachen
- Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, und deren Zulieferer, wenn sie von wesentlicher Bedeutung für sie sind.
- Betreiber von Gefahrstoffen
Betreiber Kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes 2.0 sind gemäß BSI-Gesetz und BSI-Kritisverordnung verpflichtet,
- eine Kontaktstelle für die betriebene Kritische Infrastruktur zu benennen,
IT-Störungen oder erhebliche Beeinträchtigungen zu melden, - IT-Sicherheit auf dem "Stand der Technik" umzusetzen
- und dies alle zwei Jahre gegenüber dem BSI nachzuweisen.
- Systeme zur Angriffserkennung gehören nach openkritis.de explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen in KRITIS-Anlagen bei KRITIS-Betreibern. Diese müssen kontinuierlich Bedrohungen im laufenden Betrieb mittels Mustern erkennen und "vermeiden". Der Einsatz ist spätestens ab dem 1. Mai 2023 verpflichtend und muss in KRITIS-Prüfungen explizit nachgewiesen werden.