Identifizierung Kritischer Infrastrukturen
Identifizierung Kritischer Infrastrukturen
Die Funktionsfähigkeit Kritischer Infrastrukturen (kurz: KRITIS) ist für die Versorgung der Bevölkerung mit kritischen Dienstleistungen entscheidend. Zu den kritischen Dienstleistungen zählen beispielsweise die Strom- und Wasserversorgung, die Gesundheitsversorgung oder auch die Versorgung mit Lebensmitteln und Bargeld.
Um die Versorgung mit kritischen Dienstleistungen auch in einer Krise weitestgehend aufrechtzuerhalten, ist eine zielgerichtete Ergreifung von Maßnahmen im Kontext des Risiko- und Krisenmanagements notwendig.
Dafür ist es wichtig, Kritische Infrastrukturen zu identifizieren. Mit der Identifizierung Kritischer Infrastrukturen befassen sich also beispielsweise Behörden, die eine Rolle beim Schutz Kritischer Infrastrukturen einnehmen.
Vorgehensweise und Zielsetzung der Identifizierung
Um Kritische Infrastrukturen benennen zu können, wird untersucht, welche kritischen Dienstleistungen sie anbieten. „Kritisch“ bedeutet in diesem Zusammenhang, dass ein Ausfall dieser Dienstleistungen aus staatlicher und kommunaler Sicht die Versorgung der Bevölkerung erheblich beeinträchtigen würde.
Nachdem die Kritischen Infrastrukturen identifiziert wurden, können ihre kritischen Prozesse, Anlagen und Einrichtungen bestimmt und deren Betreiber angesprochen werden.
Darauf aufbauend kann, wenn notwendig, eine Priorisierung erfolgen – und zwar sowohl unter Berücksichtigung der Zeitdringlichkeit, die ihr Ausfall verursacht, als auch in Bezug auf besondere Anforderungen von Ereignissen.
Damit ermöglichen die Identifizierung und Priorisierung eine Schwerpunktsetzung im Risiko- und Krisenmanagement und eine zielgenaue Kontaktaufnahme mit den Betreibern Kritischer Infrastrukturen (kurz: KRITIS) und systemrelevanter Einrichtungen. Dies schafft die Basis für den Austausch und die Kooperation zwischen Behörden und KRITIS-Betreibern als wichtige Voraussetzung für den Schutz Kritischer Infrastrukturen.
Herausforderungen bei der Identifizierung
Grundsätzlich können Sektoren und Branchen, aber auch einzelne Dienstleistungen, Prozesse, Anlagen und Einrichtungen sowie deren Betreiber, als „kritisch“ identifiziert werden.
Eine Identifizierung kann sich dabei sowohl auf einen spezifischen Anwendungskontext als auch auf unterschiedliche Ebenen beziehen. Das heißt, welche Anlage als kritisch gilt und welcher Betreiber als KRITIS-Betreiber angesprochen wird, hängt vom Anwendungskontext und von der Betrachtungsebene ab: Eine aus Bundessicht nicht-kritische Einrichtung könnte für die Gefahrenabwehr einer Kommune sehr wohl eine kritische Bedeutung haben.
Die Frage lautet also nicht so sehr: Kritisch – ja oder nein? Vielmehr muss gefragt werden: Ist die Einrichtung im betrachteten Kontext kritisch – ja oder nein?
Von der Theorie in die Praxis: Leitfaden „Identifizierung in sieben Schritten“
Um Akteuren den Umgang mit dem Identifizierungsprozess zu erleichtern, wird im Leitfaden „Schutz Kritischer Infrastrukturen – Identifizierung in sieben Schritten“ die methodische Herangehensweise schrittweise erläutert.
In verschiedenen Anwendungskontexten und auf unterschiedlichen Ebenen können auf diesem Wege kritische Dienstleistungen, Prozesse, Anlagen oder Einrichtungen identifiziert und deren Betreiber ausfindig gemacht werden, um sie dann in das Risikomanagement (beispielsweise von Behörden) einzubinden.
Die Identifizierung erfolgt auf Basis verschiedener Kriterien, die sowohl Qualität als auch Quantität der Versorgungsleistung abdecken. Falls erforderlich, kann basierend auf den Ergebnissen der Identifizierung eine Priorisierung erfolgen.
Gesetze und Verordnungen sind auf Identifizierung angewiesen
Im Zusammenhang mit Gesetzen und Verordnungen hat die Identifizierung Kritischer Infrastrukturen eine besondere Bedeutung.
Auf nationaler Ebene machte die Verabschiedung des IT-Sicherheitsgesetzes von 2015 die Festlegung und Durchführung eines Identifizierungsverfahrens notwendig. Welche Anlagen als „kritisch im Sinne des IT-Sicherheitsgesetzes“ gelten, ist in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI-Kritisverordnung) geregelt. Dieser Verordnung liegt dieselbe Identifizierungsmethode zugrunde, die auch im Leitfaden „Schutz Kritischer Infrastrukturen: Identifizierung in sieben Schritten“ beschrieben wird. Die BSI-Kritisverordnung ist damit also ein spezifischer Anwendungsfall einer in verschiedenen Kontexten einsetzbaren Methode zur Identifizierung.
Gesetze zum Schutz Kritischer Infrastrukturen
Aktuelle Ereignisse und Weiterentwicklung
Auch aktuelle Entwicklungen, wie beispielsweise die COVID-19-Pandemie, stellen Behörden und Betreiber Kritischer Infrastrukturen (kurz: KRITIS) vor vielfältige Herausforderungen. Dies erfordert eine kontinuierliche Weiterentwicklung von Methoden und Instrumenten zur Krisenvorsorge und Krisenbewältigung im Kontext Kritischer Infrastrukturen.
Im sogenannten „Baukasten KRITIS“ wird ein besonderer Fokus auf die Identifizierung und Priorisierung im Kontext Kritischer Infrastrukturen gelegt.