KRITIS – Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz :
Anhang 6 (zu § 1 Nummer 4 und 5, § 7 Absatz 7 Nummer 1 und 2) Anlagenkategorien und Schwellenwerte im Sektor Finanz- und Versicherungswesen

Teil 1: Grundsätze und Fristen

1. Im Sinne von Anhang 6 ist oder sind

a) Autorisierungssystem ein System, mit dem ein angefragter Transaktionsbetrag bei Transaktionen aus Geldautomatensystemen oder aus dem kartengestützten Zahlungsverkehr nach Prüfung der Kartendaten durch das kontoführende Institut oder den Zahlungsdienstleister genehmigt oder abgelehnt wird.

b) System zur Anbindung an ein Autorisierungssystem aus Sicht des Geldautomatenbetreibersein System, das der Anbindung des Geldautomatenbetreibers an ein Autorisierungssystem des kontoführenden Instituts dient.

c) System zur Aufbereitung durch den Geldautomatenbetreiber ein System eines Geldautomatenbetreibers, welches Nachrichten oder Transaktionen aus Geldautomatensystemen verarbeitet, um die Transaktion in den Zahlungsverkehr einzubringen.

d) System zur Anbindung an ein Interbanken-Zahlungsverkehrssystem ein System, das den Zahlungsdienstleister an die Interbanken-Zahlungsverkehrssysteme anbindet.

e) Clearing-System ein System, das im Interbankenverkehr die Transaktionsdaten (Clearing-Daten) an das kontoführende Institut weiterleitet.

f) Settlement-System ein System zur Verrechnung von Beträgen zwischen den partizipierenden Instituten.

g) Kontoführungssystem ein System des Zahlungsdienstleisters des Zahlers oder des Zahlungsdienstleisters des Zahlungsempfängers zur elektronischen Führung und Verwaltung der Konten.

h) Cash Center Einrichtungen von Wertdienstleistern, in denen Bargeld geprüft, gezählt, sortiert, gelagert oder wieder ausgegeben wird.

i) IT-System für das Cash Management ein System des Wertdienstleisters zur Berichterstattung, zur Bestellung von Bargeld und zum Cash Management des Wertdienstleister

j) System zur Anbindung an ein Autorisierungssystem aus Sicht des Terminalbetreibers ein System, das der Anbindung des Terminalbetreibers (zum Beispiel des Netzbetreibers) an ein Autorisierungssystem dient oder Transaktionen zum zuständigen Autorisierungssystem weiterleitet.

k) System zur Aufbereitung durch den POS-Terminalbetreiber ein System eines Netzbetreibers oder POS-Terminalbetreibers, welches Nachrichten oder Transaktionen von POS-Terminals verarbeitet, um Transaktionen in den Zahlungsverkehr einzubringen.

l) System zur Annahme der POS-Transaktionsdaten beim Zahlungsdienstleister des Zahlungsempfängers ein System, das Transaktionen von einem Acquirer annimmt.

m) System zur Annahme einer Überweisung oder Lastschrift ein System, mit dem Überweisungen oder Lastschriften des Zahlers durch den Zahlungsdienstleister oder das kontoführende Institut angenommen und verarbeitet werden.

n) System einer Clearingstelle oder einer zentralen Gegenpartei zur Verrechnung von Wertpapier- und Derivatgeschäften ein System der Clearingstelle oder einer zentralen Gegenpartei gemäß § 1 Absatz 31 des Kreditwesengesetzes in der jeweils geltenden Fassung.

o) System zur Anbindung für die Verrechnung und Verbuchung von Wertpapier- und Derivatgeschäften ein System, das der Anbindung eines Teilnehmers oder einer Handelsplattform zu einer Clearingstelle oder zentralen Gegenpartei sowie von einer Clearingstelle oder zentralen Gegenpartei zu einer Verbuchungsstelle dient.

p) Wertpapier-Settlement-System ein Wertpapierliefer- und -abrechnungssystem gemäß Artikel 2 Absatz 1 Nummer 10 der Verordnung (EU) Nr. 909/2014.

q) Depotführungssystem ein System, das zur Prüfung des Depotbestands und für Transaktionen von Depots genutzt wird.

r) System eines Zentralverwahrers ein System eines Zentralverwahrers gemäß Artikel 2 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 909/2014.

s) System zur Aufbereitung von Zahlungsanweisungen ein System eines Betreibers, welches Wertpapier- oder Derivattransaktionen mittelbar oder unmittelbar verarbeitet, um die Transaktionen in den Zahlungsverkehr einzubringen.

t) Vertragsverwaltungssystem für das Versicherungsvertragsverhältnis ein System zur Speicherung und Verarbeitung von Informationen zum Versicherungsvertragsverhältnis.

u) Leistungssystem Lebensversicherung ein System zur Bearbeitung von Leistungen im Bereich Lebensversicherung.

v) Leistungssystem der Sozialversicherungsträger der gesetzlichen Renten-, Unfall- und Arbeitslosenversicherung ein integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsrechtlichen Entgeltersatzleistungen der gesetzlichen Renten-, Unfall- und Arbeitslosenversicherung.

w) Leistungssystem der privaten Krankenversicherung ein System zur Bearbeitung von Leistungen im Bereich der privaten Krankenversicherung.

x) Schadensystem (Komposit) ein System zur Bearbeitung von Schäden im Bereich der Schaden- und Unfallversicherungen.

y) Auszahlungssystem ein System zur Auszahlung der Entschädigung oder Versicherungsleistung an den Zahlungsempfänger.

z) Verwaltungs- und Zahlungssystem der gesetzlichen Kranken- und Pflegeversicherung ein integriertes Anwendungssystem im Bereich der gesetzlichen Kranken- und Pflegeversicherung.

2. Eine Anlage, die einer in Teil 3 Spalte B genannten Anlagenkategorie zuzuordnen ist, gilt ab dem 1. April des Kalenderjahres, das auf das Kalenderjahr folgt, in dem ihr Versorgungsgrad den in Teil 3 Spalte D genannten Schwellenwert erstmals erreicht oder überschreitet, als Kritische Infrastruktur. Hat der Versorgungsgrad einer Anlage den in Teil 3 Spalte D genannten Schwellenwert erstmals im Kalenderjahr 2016 erreicht oder überschritten, gilt die Anlage mit Inkrafttreten dieser Verordnung als Kritische Infrastruktur.

3. Abweichend von Nummer 1 gilt eine Anlage, die den Anlagenkategorien des Teils 3 Spalte A Nummer 5.1.3, 5.1.7 oder 5.1.11 zuzuordnen ist, ab dem 1. April des Kalenderjahres, das auf die drei Kalenderjahre folgt, deren durchschnittlicher Versorgungsgrad den in Teil 3 Spalte D genannten Schwellenwert erstmals erreicht oder überschreitet, als Kritische Infrastruktur.

4. Der Betreiber hat den Versorgungsgrad seiner Anlage für das zurückliegende Kalenderjahr jeweils bis zum 31. März des Folgejahres zu ermitteln.

5. Bei der Ermittlung des Versorgungsgrades einer Anlage, die den Anlagenkategorien des Teils 3 Spalte A Nummer 5.1.1, 5.1.4 oder 5.1.8 zuzuordnen ist, sind nur ablaufende Verträge mit Auszahlung der Versicherungsleistung zu berücksichtigen. Ungeachtet der Auszahlungsweise ist jeder Leistungsfall nur einmalig, bei wiederkehrenden Auszahlungen nur bei der erstmaligen Leistungsbearbeitung zu berücksichtigen.

6.Stehen mehrere Anlagen derselben Art in einem engen betrieblichen Zusammenhang (gemeinsame Anlage) und erreichen oder überschreiten die in Teil 3 Spalte D genannten Schwellenwerte zusammen, gilt die gemeinsame Anlage als Kritische Infrastruktur. Ein enger betrieblicher Zusammenhang ist gegeben, wenn die Anlagen

a) mit gemeinsamen Betriebseinrichtungen verbunden sind,

b) einem identischen technischen Zweck dienen und

c) unter gemeinsamer Leitung stehen.

Teil 2: Berechnungsformeln zur Ermittlung der Schwellenwerte

7. Der für die Anlagenkategorien des Teils 3 Nummer 1.1.1 bis 1.2.1 und 1.3.1 genannte Schwellenwert ist unter Annahme von 30 Transaktionen mit im Inland ausgegebenen Karten an Terminals (Geldautomaten) in- und ausländischer Zahlungsdienstleister pro versorgter Person pro Jahr und eines Regelschwellenwertes von 500 000 versorgten Personen wie folgt berechnet:

15 000 000 Transaktionen/Jahr = 30 Transaktionen/Jahr x 500 000

8. Der für die Anlagenkategorie des Teils 3 Nummer 1.4 genannte Schwellenwert ist unter der Annahme von 187 im Cash-Center bearbeiteten Banknoten zur Versorgung einer Person pro Jahr und eines Regelschwellenwertes von 500 000 versorgten Personen wie folgt berechnet:

93 500 000 Banknoten/Jahr = 187 Banknoten/Jahr x 500 000

9. Der für die Anlagenkategorien des Teils 3 Nummer 1.2.2 bis 1.2.4 und 2.2.3 bis 2.2.5 genannte Schwellenwert ist unter Annahme von 36 Transaktionen als Mittelwert mit im Inland ausgegebenen Karten an POS-Terminals und Geldautomaten in- und ausländischer Zahlungsdienstleister pro versorgter Person pro Jahr und eines Regelschwellenwertes von 500 000 versorgten Personen wie folgt berechnet:

18 000 000 Transaktionen/Jahr = 36 Transaktionen/Jahr x 500 000

10. Der für die Anlagenkategorien des Teils 3 Nummer 2.1.1 bis 2.2.2 und 2.3.1 genannte Schwellenwert ist unter Annahme von 43 Transaktionen mit im Inland ausgegebenen Karten an Terminals (POS) in- und ausländischer Zahlungsdienstleister und eines Regelschwellenwertes von 500 000 versorgten Personen wie folgt berechnet:

21 500 000 Transaktionen/Jahr = 43 Transaktionen/Jahr x 500 000

11. Der für die Anlagenkategorien des Teils 3 Nummer 3 genannte Schwellenwert ist unter Annahme von 200 Transaktionen bei Überweisungen und Lastschriften pro versorgter Person und pro Jahr und eines Regelschwellenwertes von 500 000 versorgten Personen wie folgt berechnet:

100 000 000 Transaktionen/Jahr = 200 Transaktionen/Jahr x 500 000

12. Der für die Anlagenkategorien des Teils 3 Nummer 4 genannte Schwellenwert ist unter Annahme von 1,7 Abwicklungstransaktionen im In- und Ausland pro versorgter Person pro Jahr und eines Regelschwellenwertes von 500 000 versorgten Personen wie folgt berechnet:

850 000 Transaktionen/Jahr = 1,7 Transaktionen/Jahr x 500 000

13. Der für die Anlagenkategorien des Teils 3 Nummer 5.1.2, 5.1.6 und 5.1.10 genannte Schwellenwert ist unter Annahme von 4 Leistungsfällen pro versorgter Person pro Jahr und eines Regelschwellenwertes von 500 000 versorgten Personen wie folgt berechnet:

2 000 000 Leistungsfälle/Jahr = 4 Leistungsfälle/Jahr x 500 000

Teil 3: Anlagenkategorien und Schwellenwerte

Spalte ASpalte ASpalte CSpalte D
Nr.AnlagenkategorieBemessungskriteriumSchwellenwert
1.Bargeldversorgung
1.1Autorisierung einer Abhebung
1.1.1AutorisierungssystemAnzahl Transaktionen/Jahr15 000 000
1.1.2System zur Anbindung an ein
Autorisierungssystem aus Sicht des Geldautomatenbetreibers
Anzahl Transaktionen/Jahr15 000 000
1.2Einbringen in den Zahlungsverkehr
1.2.1System zur Aufbereitung durch den
Geldautomatenbetreiber
Anzahl Transaktionen/Jahr15 000 000
1.2.2System zur Anbindung an ein
Interbanken-Zahlungsverkehrssystem (Clearing und Settlement)
Anzahl Transaktionen/Jahr18 000 000
1.2.3Clearing-SystemAnzahl Transaktionen/Jahr18 000 000
1.2.4Settlement-SystemAnzahl Transaktionen der an das Settlement-System angebundenen
kritischen Clearing-Systeme/Jahr
18 000 000
1.3Belastung Kundenkonto
1.3.1KontoführungssystemAnzahl dienstleistungsbezogener*
Transaktionen/Jahr
15 000 000
1.4Bargeldlogistik
1.4.1Cash CenterAnzahl kumuliert bearbeiteter
Banknoten/Jahr
93 500 000
1.4.2IT-System für das Cash ManagementAnzahl kumuliert bearbeiteter
Banknoten/Jahr
93 500 000
2.Kartengestützter Zahlungsverkehr
2.1.Autorisierung
2.1.1AutorisierungssystemAnzahl dienstleistungsbezogener
Transaktionen/Jahr
21 500 000
2.1.2System zur Anbindung an ein
Autorisierungssystem aus Sicht des Terminalbetreibers
Anzahl dienstleistungsbezogener
Transaktionen/Jahr
21 500 000
2.2Einbringen in den Zahlungsverkehr
2.2.1System zur Aufbereitung durch den
POS-Terminalbetreiber
Anzahl Transaktionen/Jahr21 500 000
2.2.2System zur Annahme der
POS-Transaktionsdaten beim Zahlungsdienstleister des
Zahlungsempfängers
Anzahl Transaktionen/Jahr21 500 000
2.2.3System zur Anbindung an ein
Interbanken-Zahlungsverkehrssystem (Clearing und Settlement)
Anzahl Transaktionen/Jahr18 000 000
2.2.4Clearing-SystemAnzahl Transaktionen/Jahr18 000 000
2.2.5Settlement-SystemAnzahl Transaktionen des zugehörigen
kritischen Clearing-Systems/Jahr
18 000 000
2.3Belastung auf dem Konto des Zahlers und Gutschrift auf dem Konto des Zahlungsempfängers
2.3.1KontoführungssystemAnzahl dienstleistungsbezogener
Transaktionen/Jahr
21 500 000
3.Konventioneller Zahlungsverkehr
3.1Annahme einer Überweisung oder
Lastschrift
3.1.1System zur Annahme einer
Überweisung oder Lastschrift
Anzahl Transaktionen/Jahr100 000 000
3.2Einbringen in den Zahlungsverkehr
3.2.1System zur Anbindung an ein
Interbanken-Zahlungsverkehrssystem (Clearing und Settlement)
Anzahl dienstleistungsbezogener
Transaktionen/Jahr
100 000 000
3.2.2Clearing-SystemAnzahl dienstleistungsbezogener
Transaktionen/Jahr
100 000 00
3.2.3Settlement-SystemAnzahl Transaktionen des zugehörigen
kritischen Clearing-Systems/Jahr
100 000 000
3.3Belastung und Gutschrift auf
Kundenkonten
3.3.1KontoführungssystemAnzahl dienstleistungsbezogener
Transaktionen/Jahr
100 000 000
4.Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften
4.1Verrechnung von
Wertpapier- und Derivatgeschäften
4.1.1System einer Clearingstelle oder
zentralen Gegenpartei zur Verrechnung von Wertpapier- und
Derivatgeschäften
Anzahl Transaktionen/Jahr850 000
4.1.2System zur Anbindung für die Verrechnung und Verbuchung von Wertpapier- und DerivatgeschäftenAnzahl Transaktionen/Jahr850 000
4.2Verbuchung Wertpapiere
4.2.1Wertpapier-Settlement-SystemAnzahl Transaktionen/Jahr850 000
4.2.2DepotführungssystemAnzahl Transaktionen/Jahr850 000
4.2.3System eines ZentralverwahrersAnzahl Transaktionen/Jahr850 000
4.3Verbuchung Geld
4.3.1System zur Aufbereitung der ZahlungsanweisungAnzahl Transaktionen/Jahr850 000
5.Versicherungsdienstleistungen
5.1Inanspruchnahme von Versicherungsdienstleistungen
5.1.1Vertragsverwaltungssystem
(Lebensversicherung)
Leistungsfälle/Jahr500 000
5.1.2Vertragsverwaltungssystem
(private Krankenversicherung)
Leistungsfälle/Jahr2 000 000
5.1.3Vertragsverwaltungssystem
(Komposit)
Schadensfälle/Jahr500 000
5.1.4Leistungssystem
(Lebensversicherung)
Leistungsfälle/Jahr500 000
5.1.5Leistungssystem (Sozialversicherungsträger der gesetzlichen Renten-, Unfall- und Arbeitslosenversicherung)Leistungsfälle/Jahr500 000
5.1.6Leistungssystem
(private Krankenversicherung)
Leistungsfälle/Jahr2 000 000
5.1.7Schadensystem (Komposit)Schadensfälle/Jahr500 000
5.1.8Auszahlungssystem
(Lebensversicherung)
Leistungsfälle/Jahr500 000
5.1.9Auszahlungssystem (Sozialversicherungsträger der gesetzlichen Renten-, Unfall- und Arbeitslosenversicherung)Leistungsfälle/Jahr500 000
5.1.10Auszahlungssystem
(private Krankenversicherung)
Leistungsfälle/Jahr2 000 000
5.1.11Auszahlungssystem (Komposit)Schadensfälle/Jahr500 000
5.1.12Verwaltungs- und Zahlungssystem der gesetzlichen Kranken- und
Pflegeversicherung
Anzahl der Versicherten3 000 000

* Nachfolgend sind dienstleistungsbezogene Transaktionen solche Transaktionen, die im Kontoführungssystem bei der Erbringung der jeweiligen kritischen Dienstleistung verbucht werden.