Kritische Infrastrukturen sind Anlagen , Systeme oder ein Teil davon, die von wesentlicher Bedeutung fur die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit , der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevolkerung sind und deren Storung oder Zerstorung erhebliche Auswirkungen hatte, da ihre Funktionen nicht aufrechterhalten werden konnten. ^[1]

Infrastrukturen sind jedermann zugangliche staatliche oder private Anlagen oder Einrichtungen , die in einem festgelegten organisatorischen und/oder geografischen Bereich Dienstleistungen zur Verfugung stellen. ^[2] Dazu gehoren auch die ablaufenden Prozesse , die eingesetzte Informationstechnik sowie die tatigen Arbeitskrafte . Kritische Infrastrukturen sind dementsprechend ?Organisationen und Einrichtungen mit wichtiger Bedeutung fur das staatliche Gemeinwesen , bei deren Ausfall oder Beeintrachtigung nachhaltig wirkende Versorgungsengpasse , erhebliche Storungen der offentlichen Sicherheit oder andere dramatische Folgen eintreten wurden.“ ^[3] ?Kritisch“ bezieht sich auf die Systemrelevanz der Infrastrukturen, also auf die fur das Gesamtsystem und die Daseinsvorsorge besonders bedeutsamen Einrichtungen. ^[4]

Es bedarf auch des Schutzes Kritischer Informationsinfrastrukturen ( englisch Critical Information Infrastructure Protection , CIIP). ?Kritisch“ meint hierbei nicht, dass die Eintrittswahrscheinlichkeit von Storungen hoch ist. Es ist vielmehr so zu verstehen, dass Storungen oder Ausfalle weitreichende Folgen bis hin zu katastrophalen Auswirkungen fur Staat, Wirtschaft und/oder große Teile der Bevolkerung haben konnen. ^[5]

Das Bewusstsein uber die Konzentration auf Kritische Infrastrukturen entstand erst im Juli 1996 in den USA , als dort politische Entscheidungen getroffen und Maßnahmen ergriffen wurden, die auf deren Schutz abzielten. ^[6] Nach dem Bombenanschlag auf das Murrah Federal Building in Oklahoma City im April 1995 schlug Janet Reno , Attorney General unter Prasident Bill Clinton , eine Kommission vor, die sich mit der Verwundbarkeit der USA durch Angriffe auf unverzichtbare Einrichtungen befassen sollte. Das Gremium hieß offiziell ?Presidential Commission on Critical Infrastructure Protection (PCCIP)“ ^[7] und machte im Oktober 1997 darauf aufmerksam, dass das Hauptaugenmerk auf das Internet zu legen sei, weil Hacker Kritische Infrastrukturen hieruber lahmlegen konnten. Als Kritische Infrastrukturen identifizierte die Kommission die Wirtschaftszweige :

• Information und Kommunikation ,
• Finanzwesen ,
• Wasser- ,
• Elektrizitats- ,
• Gas- und Olversorgung ,
• Verkehrs- und Transportwesen ,
• Notfalldienste und US-Administration .

Weitere Fortschritte gab es erst aus Anlass besonderer Katastrophen. So sorgten die Terroranschlage am 11. September 2001 unter anderem mit dem Begriff Disaster Preparedness ‚Katastrophen-vorbereitetheit‘ dafur, dass die US-Regierung Mittel , Personal , Kompetenzen und Aufgaben fur den Katastrophenschutz sowie die Flughafen- und Luftsicherheit verstarkte. Ein Computervirus ließ im August 2003 in 23 Bundesstaaten fur Stunden samtliche Eisenbahnsignal ausfallen, wodurch Zuge bis zu 6 Stunden Verspatung hatten oder ganz ausfielen. Im selben Monat loste ein Blitzschlag an der Ostkuste einen großflachigen Stromausfall aus, als Stromleitungen nicht mehr funktionierten, was zur Uberlastung von Kraftwerken fuhrte, die sich automatisch abschalteten. ^[8]

Kritische Infrastrukturen setzen sich zusammen aus technischen Basisinfrastrukturen und soziookonomischen Infrastrukturen: ^[9]

Technische Basisinfrastrukturen gewahrleisten die:

• Energieversorgung,
• Trinkwasserversorgung sowie Abwasserentsorgung und
• ermoglichen Informationsaustausch, Kommunikation sowie
• Transport und Verkehr bis hin zu
• Absatz- und Lieferketten .

Soziookonomische Infrastrukturen betreffen:

• die Nahrungsmittelversorgung ,
• das Finanzwesen ,
• Rettungsdienste sowie die
• Versorgung mit Massenmedien und Kultur .

Teilweise sind sie interdependent wie beispielsweise Transport und Nahrungsmittelversorgung (Lieferketten). ^[10]

Im Sinne der Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 uber die Ermittlung und Ausweisung europaischer Kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern ist eine Kritische Infrastruktur eine Anlage , ein System oder ein Teil davon, die von wesentlicher Bedeutung fur die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit , der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevolkerung sind und deren Storung oder Zerstorung erhebliche Auswirkungen hatte, da ihre Funktionen nicht aufrechterhalten werden konnten.

Die CER-Richtlinie (EU 2022/2557) reguliert die Resilienz bei Kritischen Infrastrukturen in der EU durch Maßnahmen in Unternehmen und staatliche Aufsicht. ^[11] Die NIS-2-Richtlinie weitet Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen aus. ^[12]

In Deutschland erscheinen Kritische Infrastrukturen als Rechtsbegriff erstmals im Dezember 2008 im Raumordnungsgesetz (ROG). Danach ist es einer der Grundsatze der Raumordnung , dass nach § 2 Abs. 2 Nr. 3 ROG dem Schutz Kritischer Infrastrukturen Rechnung zu tragen ist. In den Bereich des Schutzes Kritischer Infrastrukturen fallt auch die Versorgung von Schlusselindustrien , deren Beeintrachtigung unmittelbar schwerwiegende Storungen der Versorgungslage nach sich ziehen wurde. ^[13] Dabei gilt als Maß fur die Bedeutung einer Infrastruktur im Hinblick auf ihre Systemfunktionalitat die ?Kritikalitat von Infrastrukturen“. ^[14] Kritische Infrastrukturen im Sinne des § 2 Abs. 10 BSI-Gesetz sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernahrung sowie Finanz- und Versicherungswesen angehoren und von hoher Bedeutung fur das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeintrachtigung erhebliche Versorgungsengpasse oder Gefahrdungen fur die offentliche Sicherheit eintreten wurden.

Die Betreiber Kritischer Infrastrukturen sind gemaß § 8a Abs. 1 BSI-Gesetz verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Storungen der Verfugbarkeit, Integritat, Authentizitat und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die fur die Funktionsfahigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Das Bundesministerium des Innern bestimmte gemaß § 10 Abs. 1 BSI-Gesetz durch Rechtsverordnung naher, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Diese Rechtsverordnung ist die BSI-KritisV (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, BSI-Kritisverordnung), die folgende sieben Sektoren als Kritische Infrastrukturen identifiziert:

1. Energie : Elektrizitat , Gas , Mineralol , Fernwarme ( § 2 BSI-KritisV),
2. Wasser : Offentliche Wasserversorgung , offentliche Abwasserbeseitigung ( § 3 BSI-KritisV),
3. Ernahrung : Ernahrungswirtschaft , Lebensmittelhandel ( § 4 BSI-KritisV),
4. Informationstechnik und Telekommunikation ( § 5 BSI-KritisV),
5. Gesundheit : Medizinische Versorgung , Arzneimittel und Impfstoffe , Labore ( § 6 BSI-KritisV),
6. Finanz- und Versicherungswesen : Kreditinstitute , Borsen , Versicherungen , Finanzdienstleister ( § 7 BSI-KritisV),
7. Transport und Verkehr : Luftfahrt , Seeschifffahrt , Binnenschifffahrt , Schienenverkehr , Straßenverkehr , Logistik ( § 8 BSI-KritisV).

Zusatzlich rechnet das Bundesamt fur Bevolkerungsschutz und Katastrophenhilfe folgende Kritische Infrastrukturen hinzu: ^[15]

• Staat und Verwaltung : Regierung und Verwaltung, Parlament , Justizeinrichtungen , Notfall -/ Rettungswesen einschließlich Katastrophenschutz sowie
• Medien und Kultur : Rundfunk ( Fernsehen und Radio ), gedruckte und elektronische Presse , Kulturgut und symboltrachtige Bauwerke .

Die beiden letzten Sektoren sind nicht Bestandteil der BSI-KritisV.

Mit dem im Mai 2021 verabschiedeten IT-Sicherheitsgesetz 2.0 und den damit verbundenen Anderungen des BSI-Gesetzes tritt ein weiterer Kritis-Sektor hinzu:

• Siedlungsabfallentsorgung .

Das Bundesamt fur Sicherheit in der Informationstechnik nennt somit zehn Kritische Infrastrukturen. ^[16] Zudem wird ebenfalls die neue Kategorie ?Unternehmen in besonderen offentlichen Interesse“ (UBI) eingefuhrt ^[17] . Darunter fallen bspw. Rustungs- und Chemieunternehmen sowie die großten deutschen Konzerne, inkl. deren wesentliche Zulieferer. ^[18] Medial wird die neugeschaffene Kritis-Kategorie haufig auch als ?Quasi-Kritis“ oder ?Kritis-Light“ bezeichnet, da die gesetzlichen Anforderungen an ?Unternehmen in besonderen offentlichen Interesse“ zwar substanziell aber im Vergleich zu Betreibern Kritischer Infrastrukturen gemaß der BSI-KritisV weniger weitreichend sind. ^[19]

Das Kritis-Dachgesetz soll ab 2024 die CER-Richtlinie umsetzen, und das NIS2-Umsetzungsgesetz soll die NIS2-Richtlinie umsetzen. ^[20]

Aufgrund der Vernetzung Kritischer Infrastrukturen sowohl sektorubergreifend als auch grenzuberschreitend bestehen starke, nicht-lineare Interdependenzen . Dies kann dazu fuhren, dass sich eine Storung von einem Betreiber einer Kritischen Infrastruktur durch Kaskadeneffekt auf andere Betreiber ausbreitet und somit die Bevolkerung gefahrdet. ^[21] Betreiber ist nach § 1 Nr. 2 BSI-KritisV eine naturliche oder juristische Person , die unter Berucksichtigung der rechtlichen, wirtschaftlichen und tatsachlichen Umstande bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausubt.

In der Schweiz umfasst das Spektrum der Kritischen Infrastrukturen neun Sektoren, unterteilt in 27 Teilsektoren (Branchen). ^[22]

Kritische Infrastrukturen sind in Osterreich in § 74 Z 11 Strafgesetzbuch sowie in § 22 Abs. 1 Z 6 Sicherheitspolizeigesetz definiert. Beauftragt fur den Schutz sind das Bundesministerium fur Inneres und das Bundeskanzleramt ; diese werden vom APCIP in der Umsetzung unterstutzt. Osterreich hat verbindliche bilaterale Vertrage mit den Landern Slowakei und Tschechien , in denen sie sich gegenseitige Hilfe in Notlagen zusichern.

Auch eine D-A-CH -Kooperation sowie die Zusammenarbeit mit der Europaischen Kommission bei EPCIP , Fonds Innere Sicherheit (kurz ISF) und CIWIN bestehen. ^[23]

• Risikomanagement
• Cyberabwehr
• Arbeitsgruppe Kritische Infrastrukturen
• UP KRITIS
• Gemeinsamer Koordinierungsstab Kritische Infrastruktur ^[24]

• Stefan Loubichi, Implementieren und Zertifizieren von IT-Sicherheitsmanagementsystemen nach ISO 27001 in der Energiewirtschaft , VGB PowerTech Journal, Ausgabe 6/2017, S. 54 bis 57, ISSN 1435-3199
• Internetplattform von BBK (Bundesamt fur Bevolkerungsschutz und Katastrophenhilfe) und BSI (Bundesamt fur Sicherheit in der Informationstechnik) zum Thema ?Schutz Kritischer Infrastrukturen“
• Kritische Infrastrukturen Risiko- und Krisenmanagementsysteme fur Betreiber kritischer Infrastrukturen, TUV SUD Industrie Service GmbH
• Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) (PDF; 330 kB), Bundesministerium des Innern, Berlin, 17. Juni 2009
• Kompetenzzentrum Kritische Infrastrukturen (KKI) e. V.
• Internetplattform des BABS (Schweizer Bundesamt fur Bevolkerungsschutz) zum Thema ?Schutz Kritischer Infrastrukturen“
• Unabhangige Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS)
• COVID?19: Ubersicht Kritischer Dienstleistungen. Sektorspezifische Hinweise und Informationen mit KRITIS-Relevanz , Bundesamt fur Bevolkerungsschutz und Katastrophenhilfe, 2020
• OpenKRITIS, ?KRITIS ? auf den zweiten Blick“

Bitte den Hinweis zu Rechtsthemen beachten!