BSI-KritisV Anhang 4 (zu § 1 Nummer 4 und 5, § 5 Absatz 4 Nummer 1 und 2)
Anhang 4 (zu § 1 Nummer 4 und 5, § 5 Absatz 4 Nummer 1 und 2) [1]

Anlagenkategorien und Schwellenwerte im Sektor Informationstechnik und Telekommunikation

Teil 1: Grundsätze und Fristen
  1. Für die in Teil 3 Spalte B genannten Anlagenkategorien gelten vorrangig die Begriffsbestimmungen nach § 3 des Telekommunikationsgesetzes in der jeweils geltenden Fassung.

  2. Im Sinne von Anhang 4 ist oder sind

    2.1

    Zugangsnetz

    eine Anlage, über die der Zugang zu einem Sprachkommunikationsdienst, zu einem öffentlich zugänglichen Datenübertragungsdienst oder zu einem Internetzugangsdienst erfolgt, zum Beispiel Glasfaseranschlüsse und Mobilfunkzugangsnetze.

    2.2

    Übertragungsnetz

    eine Anlage zur Übertragung von Sprache und Daten für Sprachkommunikationsdienste und öffentlich zugängliche Datenübertragungsdienste oder für Internetzugangsdienste, zum Beispiel Backbone- und Core-Netze.

    2.3

    Seekabelanlandestation

    eine Anlandestation zur Anbindung primär der Sprach- und Datenübertragung dienender Seekabel an landgestützte Telekommunikationsnetze.

    2.4

    IXP

    eine von den angeschlossenen autonomen Systemen unabhängige Netzeinrichtung, die die Zusammenschaltung von mehr als zwei unabhängigen autonomen Systemen für den Zweck des Austausches von Internetdatenverkehr ermöglicht. Eine Anlage ist auch dann ein IXP, wenn der Internetdatenverkehr zwischen zwei beliebigen teilnehmenden autonomen Systemen nicht über ein intermediäres autonomes System läuft.

    2.5

    DNS-Resolver

    eine Anlage oder ein System im Zugangsnetz eines Anbieters von Internetzugangsdiensten zur Beantwortung von Anfragen zur Namensauflösung, die oder das bei Unkenntnis der Antwort die Anfragen an übergeordnete DNS-Instanzen weiterreicht, wenn die Anlage oder das System zur Nutzung von Sprachkommunikationsdiensten, öffentlich zugänglichen Datenübertragungsdiensten oder Internetzugangsdiensten angeboten wird.

    2.6

    Autoritativer DNS-Server

    eine Anlage oder ein System zur Beantwortung von Anfragen zur Namensauflösung gemäß Kapitel 5 des RFC 7719, in der oder in dem durch lokal vorliegende Informationen über den Inhalt einer DNS-Zone Anfragen über diese DNS-Zone beantwortet werden oder die Anfragen an andere Server delegiert werden.

    2.7

    Top-Level-Domain-Name-Registry

    eine Anlage, welche die Registrierung von Internet-Domain-Namen innerhalb einer spezifischen Top-Level-Domain (TLD) verwaltet und betreibt.

    2.8

    Rechenzentrum (Housing)

    ein oder mehrere Gebäude, zumindest aber ein geschlossener Raum mit dem vorrangigen Zweck, eine geeignete Umgebung für die Unterbringung und den Betrieb von zentralen IT-Komponenten, zum Beispiel Server oder Netzwerktechnik, in mindestens zehn Racks bereitzustellen.

    2.9

    Serverfarm (Hosting)

    zwei oder mehrere physische oder virtuelle Instanzen, die im IT-Netzwerk Dienste bereitstellen. Dabei gelten virtuelle Maschinen, die mit einem eigenen Betriebssystem auf einer physischen Instanz betrieben werden, als virtuelle Instanzen.

    2.10

    Content Delivery Network

    ein Netz regional verteilter und über das Internet verbundener Server, mit dem Inhalte ausgeliefert und zwischengespeichert werden, um insbesondere die Verfügbarkeit und Performanz zu erhöhen.

    2.11

    Anlage zur Erbringung von Vertrauensdiensten

    eine vertrauenswürdige dritte Instanz (Trusted Third Party), die in elektronischen Kommunikationsprozessen die jeweilige Identität des Kommunikationspartners bescheinigt.

  3. Eine Anlage, die einer in Teil 3 Spalte B genannten Anlagenkategorie zuzuordnen ist, gilt ab dem 1. April des Kalenderjahres, das auf das Kalenderjahr folgt, in dem ihr Versorgungsgrad den in Teil 3 Spalte D genannten Schwellenwert erstmals erreicht oder überschreitet, als Kritische Infrastruktur. Nicht mehr als Kritische Infrastruktur gilt eine solche Anlage ab dem 1. April des Kalenderjahres, das auf das Kalenderjahr folgt, in dem ihr Versorgungsgrad den genannten Schwellenwert unterschreitet.

  4. Der Betreiber hat den Versorgungsgrad seiner Anlage für das zurückliegende Kalenderjahr bis zum 31. März des Folgejahres zu ermitteln.

  5. Für die Anlagenkategorien des Teils 3 Nummer 1.1.1 bis 1.2.1 und 2.1.1 ist der Versorgungsgrad zum 30. Juni des zurückliegenden Kalenderjahres jeweils maßgeblich.

  6. Stehen mehrere Anlagen derselben Art in einem engen betrieblichen Zusammenhang (gemeinsame Anlage) und erreichen oder überschreiten die in Teil 3 Spalte D genannten Schwellenwerte zusammen, gilt die gemeinsame Anlage als Kritische Infrastruktur. Ein enger betrieblicher Zusammenhang ist unabhängig von der räumlichen Distanz der Anlagen gegeben, wenn die Anlagen

    1. mit gemeinsamen Betriebseinrichtungen oder untereinander verbunden sind,

    2. einem vergleichbaren technischen Zweck dienen und

    3. unter gemeinsamer Leitung oder Steuerung stehen.

Teil 2: Berechnungsformeln zur Ermittlung der Schwellenwerte
7.

Der für die Anlagenkategorien des Teils 3 Nummer 1.1 und 1.2 genannte Schwellenwert ergibt sich aus § 185 Absatz 1 Satz 1 des Telekommunikationsgesetzes in der jeweils geltenden Fassung.

8.

Der für die Anlagenkategorie des Teils 3 Nummer 1.3.1 genannte Schwellenwert von 100 autonomen Systemen basiert auf der wirtschaftlichen und regionalen Relevanz der betroffenen IXPs.

9.

Der für die Anlagenkategorie des Teils 3 Nummer 1.4.2 und 1.4.3 genannte Schwellenwert ist unter Annahme von 40 Millionen in der Bundesrepublik Deutschland verwalteten Domains und einer Bedarfsabdeckung von 500 000 versorgten Personen bei einer Gesamtbevölkerung von 80 Millionen Personen wie folgt berechnet:

250 000 ≈ (500 000 / 80 000 000) x 40 000 000

10.

Die für die Anlagenkategorie des Teils 3 Nummer 2.2.1 genannten Schwellenwerte sind unter Annahme von 1,6 Millionen physischen und 2,4 Millionen virtuellen in der Bundesrepublik Deutschland verwalteten Serverinstanzen und einer Bedarfsabdeckung von 500 000 versorgten Personen bei einer Gesamtbevölkerung von 80 Millionen Personen wie folgt berechnet:

Physische Instanzen: 1 600 000 x 500 000 / 80 000 000 = 10 000

Virtuelle Instanzen: 2 400 000 x 500 000 / 80 000 000 = 15 000

11.

Der für die Anlagenkategorie des Teils 3 Nummer 2.2.2 genannte Schwellenwert ist unter Annahme eines Transportvolumens von 11 826 000 Terabyte/Jahr und einer Bedarfsabdeckung von 500 000 versorgten Personen bei 80 Millionen Personen Gesamtbevölkerung wie folgt berechnet:

75 000 TByte/Jahr ≈ (500 000 / 80 000 000) x 11 826 000 TByte/Jahr

Teil 3: Anlagenkategorien und Schwellenwerte

Tabelle in neuem Fenster öffnen
Spalte A
Spalte B
Spalte C
Spalte D
Nr.
Anlagenkategorie
Bemessungskriterium
Schwellenwert
1.
Sprach- und Datenübertragung
1.1
Zugang
1.1.1
Zugangsnetz
Teilnehmeranschlüsse des Zugangsnetzes nach § 3 Nummer 58 TKG
100 000
1.2
Übertragung
1.2.1
Übertragungsnetz
Vertragspartner des jeweiligen Dienstes
100 000
1.2.2
Seekabelanlandestation
Anzahl der angebundenen Seekabel
1
1.3
Vermittlung
1.3.1
IXP
Anzahl angeschlossener autonomer Systeme (Jahresdurchschnitt)
100
1.4
Steuerung
1.4.1
DNS-Resolver
Anzahl der Vertragspartner des Zugangsnetzes, in dem der DNS-Resolver betrieben wird
100 000
1.4.2
Autoritative DNS-Server
Anzahl der Domains, für die der Server autoritativ ist oder die aus der Zone delegiert werden
250 000
1.4.3
Top-Level-Domain-Name-Registry
Anzahl der Domains, die verwaltet oder betrieben werden
250 000
2.
Datenspeicherung und -verarbeitung
2.1
Housing
2.1.1
Rechenzentrum (Housing)
Vertraglich vereinbarte Leistung in MW
3,5
2.2
IT-Hosting
2.2.1
Serverfarm (Hosting)
Anzahl der für Nutzer betriebenen physischen Instanzen (Jahresdurchschnitt)
10 000
Anzahl der für Nutzer betriebenen virtuellen Instanzen (Jahresdurchschnitt)
15 000
2.2.2
Content Delivery Network
Ausgeliefertes Datenvolumen (in TByte/Jahr)
75 000
2.3
Vertrauensdienste
2.3.1
Anlage zur Erbringung von Vertrauensdiensten
Anzahl der ausgegebenen qualifizierten Zertifikate oder
500 000
Anzahl von Zertifikaten zur Authentifizierung öffentlich zugänglicher Server (Serverzertifikate, z. B. für Webserver, E-Mailserver, Cloudserver (z. B. TLS/SSL-Zertifikate))
10 000

Fundstelle(n):
zur Änderungsdokumentation
LAAAG-88587

1Anm. d. Red.: Anhang 4 i. d. F. der VO v. mit Wirkung v. .