Änderung Anhang 4 BSI-KritisV vom 01.12.2021

(Textabschnitt unverändert)

Anhang 4 (zu § 1 Nummer 4 und 5, § 5 Absatz 4 Nummer 1 und 2) Anlagenkategorien und Schwellenwerte im Sektor Informationstechnik und Telekommunikation

Teil 1 Grundsätze und Fristen

1. Für die in Teil 3 Spalte B genannten Anlagenkategorien gelten vorrangig die Begriffsbestimmungen nach § 3 des Telekommunikationsgesetzes in der jeweils geltenden Fassung.

2. Im Sinne von Anhang 4 ist oder sind

a) Ortsgebundenes Zugangsnetz

b) Übertragungsnetz

c) IXP

eine Anlage, die mehr als zwei unabhängige autonome Systeme direkt verbindet, so dass der Netzwerkverkehr zwischen zwei angeschlossenen autonomen Systemen direkt ohne Nutzung eines intermediären autonomen Systems fließt.

eine Anlage oder ein System im Zugangsnetz eines Internet Service Providers zur Beantwortung von Anfragen zur Namensauflösung, die bei Unkenntnis der Antwort die Anfragen an übergeordnete DNS-Instanzen weiterreicht.

e) Autoritative DNS-Server

eine Anlage oder ein System zur Beantwortung von Anfragen zur Namensauflösung gemäß Kapitel 5 des RFC 7719, in der oder in dem durch lokal vorliegende Informationen über den Inhalt einer DNS-Zone Anfragen über diese DNS-Zone beantwortet werden oder die Anfragen an andere Server delegiert werden.

f) Rechenzentrum (Housing)

ein oder mehrere Gebäude, zumindest aber ein geschlossener Raum mit dem vorrangigen Zweck, eine geeignete Umgebung für die Unterbringung und den Betrieb von zentralen IT-Komponenten, zum Beispiel Server oder Netzwerktechnik, in mindestens zehn Racks bereitzustellen.

g) Serverfarm (Hosting)

zwei oder mehrere Computer, die im IT-Netzwerk Dienste bereitstellen, wobei virtuelle Server als virtuelle Maschinen gelten, die auf einem physischen Server betrieben werden und wie ein eigenständiger Computer agieren.

h) Content Delivery Netzwerk

ein Netz regional verteilter und über das Internet verbundener Server, mit dem Inhalte, insbesondere große Mediendateien, ausgeliefert werden.

i) Anlage zur Erbringung von Vertrauensdiensten

eine vertrauenswürdige dritte Instanz (Trusted Third Party), die in elektronischen Kommunikationsprozessen die jeweilige Identität des Kommunikationspartners bescheinigt.

3. Eine Anlage, die einer in Teil 3 Spalte B genannten Anlagenkategorie zuzuordnen ist, gilt ab dem 1. April des Kalenderjahres, das auf das Kalenderjahr folgt, in dem ihr Versorgungsgrad den in Teil 3 Spalte D genannten Schwellenwert erstmals erreicht oder überschreitet, als Kritische Infrastruktur.

4. Der Betreiber hat den Versorgungsgrad seiner Anlage für das zurückliegende Kalenderjahr bis zum 31. März des Folgejahres zu ermitteln.

5. Ist der Versorgungsgrad für die Anlagenkategorien des Teils 3 Nummer 1.1.1 bis 1.2.1 unmittelbar anhand der Anzahl versorgter Teilnehmer zu ermitteln, ist der Versorgungsgrad zum 30. Juni des zurückliegenden Kalenderjahres jeweils maßgeblich.

6. Stehen mehrere Anlagen derselben Art in einem engen betrieblichen Zusammenhang (gemeinsame Anlage) und erreichen oder überschreiten die in Teil 3 Spalte D genannten Schwellenwerte zusammen, gilt die gemeinsame Anlage als Kritische Infrastruktur. Ein enger betrieblicher Zusammenhang ist unabhängig von der räumlichen Distanz der Anlagen gegeben, wenn die Anlagen

a) mit gemeinsamen Betriebseinrichtungen oder untereinander verbunden sind,

b) einem vergleichbaren technischen Zweck dienen und

c) unter gemeinsamer Leitung oder Steuerung stehen.

Teil 2 Berechnungsformeln zur Ermittlung der Schwellenwerte

8. Der für die Anlagenkategorie des Teils 3 Nummer 1.3.1 genannte Schwellenwert ist unter Annahme einer Anzahl von 50.000 Autonomen Systemen aus allen Netzen und einer Bedarfsabdeckung von 500.000 versorgten Personen bei einer Gesamtbevölkerung von 80 Millionen Personen wie folgt berechnet:

300 ≈ 500.000 / 80.000.000 x 50.000

9. Der für die Anlagenkategorie des Teils 3 Nummer 1.4.2 genannte Schwellenwert ist unter Annahme von 40 Millionen in der Bundesrepublik Deutschland verwalteten Domains und einer Bedarfsabdeckung von 500.000 versorgten Personen bei einer Gesamtbevölkerung von 80 Millionen Personen wie folgt berechnet:

250.000 ≈ 500.000 / 80.000.000 x 40.000.000

10. Der für die Anlagenkategorie des Teils 3 Nummer 2.2.1 genannte Schwellenwert ist unter Annahme von 4 Millionen in der Bundesrepublik Deutschland verwalteten Servern und einer Bedarfsabdeckung von 500.000 versorgten Personen bei einer Gesamtbevölkerung von 80 Millionen Personen wie folgt berechnet:

25.000 = 500.000 / 80.000.000 x 4.000.000

11. Der für die Anlagenkategorie des Teils 3 Nummer 2.2.2 genannte Schwellenwert ist unter Annahme eines Transportvolumens von 11.826.000 Terabyte/Jahr und einer Bedarfsabdeckung von 500.000 versorgten Personen bei 80 Millionen Personen Gesamtbevölkerung wie folgt berechnet:

75.000 TByte/Jahr ≈ 500.000 / 80.000.000 x 11.826.000 TByte/Jahr

Teil 3 Anlagenkategorien und Schwellenwerte


Spalte A | Spalte B | Spalte C | Spalte D

Nr. | Anlagenkategorie | Bemessungskriterium | Schwellenwert

1. | Sprach- und Datenübertragung | |

1.1 | Zugang | |

1.2. | Übertragung | |

1.3 | Vermittlung | |

1.4. | Steuerung | |

1.4.2 | Autoritative DNS-Server | Anzahl der Domains, für die der Server
autoritativ ist oder die aus der Zone delegiert
werden | 250.000

2. | Datenspeicherung und -verarbeitung | |

2.1 | Housing | |

2.1.1 | Rechenzentrum | vertraglich vereinbarte Leistung in MW
(am 30. Juni eines Kalenderjahres) | 5

2.2. | IT-Hosting | |

2.2.1 | Serverfarm | Anzahl der laufenden Instanzen
(Jahresdurchschnitt) | 25.000

2.2.2 | Content Delivery Netzwerk | ausgeliefertes Datenvolumen (in TByte/Jahr) | 75.000

2.3. | Vertrauensdienste | |

2.3.1 | Anlage zur Erbringung von Vertrauens-
diensten | Anzahl der ausgegebenen qualifizierten
Zertifikate oder | 500.000

Anzahl von Zertifikaten zur Authentifizierung
öffentlich zugänglicher Server
(Serverzertifikate, z. B. für Webserver,
E-Mailserver, Cloudserver (z. B. TLS/SSL-
Zertifikate)) | 10.000