ZUSÄTZLICHE BRANCHEN VON DER BSI-KritisV BETROFFEN

Durch die Änderung der BSI-Kritisverordnung sind ab 1. Januar 2024 Schwellenwerte für Krankenkassen gesenkt worden und Schwellenwerte für die Siedlungsabfallentsorgung festgelegt worden.

Ihre Ansprechpartner

Gerd Marlert

Certified Information Systems Auditor (CISA)

Björn Haje

Manager

Zukünftig gelten Kranken- und Pflegeversicherungen nach § 7 Abs. 7 Nr. 2 BSI-KritisV bereits ab 500.000 Versicherten als kritische Infrastruktur, nicht wie bisher ab 3 Mio. Versicherten. Diese Änderung betrifft nach § 7 Abs. 7 Nr. 2 BSI-KritisV allerdings nur die gesetzlichen Krankenversicherungen, während für private Krankenversicherungen nach Anhang 6 die BSI-KritisV erst ab 2,0 Mio. Versicherten angewendet werden muss. Grund dafür sind die in jüngster Zeit erfolgten Cyberangriffe auf Krankenkassen und Rechenzentrumsdienstleister der Krankenkassen, die zu teils längeren Ausfällen und einer erheblichen Anzahl von Betroffenen geführt haben.

Im Siedlungsabfallbereich sind die Schwellenwerte im Anhang 8 zur Verordnung aufgeführt. Es ist darauf zu achten, dass in der Sammlung tatsächliche Einwohnerzahlen (500.000) oder tatsächlich gesammelte/beförderte oder eingelagerte Mengen die Schwellenwerte darstellen (je nach Abfallart zwischen 18.500 und 79.500 Mg/Jahr), während bei der Verwertung und Behandlung genehmigte Kapazitäten (somit unabhängig vom tatsächlichen Durchsatz) relevant sind. Erst bei Überschreitung der Schwellenwerte fallen die Unternehmen unter den Anwendungsbereich dieser Verordnung.

Da keine Übergangsfristen vorgesehen sind, gelten die Regelungen unverzüglich. IT-Sicherheitsmaßnahmen sind dabei nach dem aktuellen Stand der Technik umzusetzen. Seit Mai 2023 gehört dazu auch der Einsatz von Systemen zur Angriffserkennung (bspw. in Form von Intrusion Detection Systemen).

(https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Sektorspezifische-Infos-fuer-KRITIS-Betreiber/Siedlungsabfallentsorgung/siedlungsabfallentsorgung_node.html)

Bezüglich der Auswirkungen auf Einrichtungen in der Siedlungsabfallentsorgung wird auf die Homepage des BSI verwiesen.

Sobald die Schwellenwerte von Einrichtungen überschritten werden, kommt das BSI-Gesetz (BSIG) und die BSI-KritisV zur Anwendung. Betroffene Einrichtungen müssen sich dann beim BSI registrieren, eine Kontaktstelle angeben sowie IT-Störungen, Angriffe und sonstige Vorfälle an das BSI melden. Dies gilt auch für die Maßnahmen zur Umsetzung der Informationssicherheit, die dem BSI alle zwei Jahre nachzuweisen sind.