IT-Sicherheit von Kritischen Infrastrukturen – Referentenentwurf zur Bestimmung Kritischer Infrastrukturen (BSI-Kritisverordnung)

19.02.2016

Bereits im Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten, das den Betreibern Kritischer Infrastrukturen Pflichten zur Umsetzung von Mindestsicherheitsstandards und zur Meldung von IT-Sicherheitsvorfällen auferlegt. Diese Pflichten gelten bisher jedoch nur eingeschränkt für einen begrenzten Kreis von Betreibern. Die umfassende Geltung der in das BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) eingefügten Regelungen für alle Betreiber Kritischer Infrastrukturen ist von der Konkretisierung durch eine Rechtsverordnung abhängig (die sogenannte BSI-Kritisverordnung). Diese soll näher bestimmen, was unter Kritischer Infrastruktur zu verstehen ist. Hierzu hat das Bundesministerium des Innern (BMI) nun einen Referentenentwurf veröffentlicht.

Darin werden nach einem Drei-Stufen-Test diejenigen Anlagen bestimmt, die einen aus gesamtgesellschaftlicher Sicht bedeutenden Versorgungsgrad aufweisen. Zuerst wird ermittelt, welche Dienstleistungen qualitativ als kritisch anzusehen sind (z.B. die Stromversorgung). Diese können auch unterkategorisiert sein (z.B. Stromverteilung). In einem zweiten Schritt werden Kategorien von Anlagen definiert, die zur Erbringung dieser Dienstleistungen erforderlich sind. Schließlich legt die Verordnung für diese Anlagentypen quantitative Schwellenwerte fest, ab denen eine Anlage als hinreichend bedeutsam zur Versorgung der Allgemeinheit gilt.

Ein Beispiel aus dem Sektor Energie:

1. Schritt: Stromversorgung / Stromverteilung
2. Schritt: Verteilernetz
3. Schritt: 3.700 entnommene Arbeit in Gigawattstunden pro Jahr

Ein Beispiel aus dem Sektor Informationstechnik:

1. Schritt: Datenspeicherung und –verarbeitung / Housing
2. Schritt: Rechenzentrum
3. Schritt: Vertraglich vereinbarte Leistung von 5 MW im Jahresdurchschnitt

Dabei geht die Ermittlung der Schwellenwerte in den meisten Bereichen auf eine Größenordnung von 500.000 versorgten Personen zurück. Unterhalb dieses Wertes könnten nach Angaben des BMI Ausfälle in der Regel durch Notfallkapazitäten bei Technischem Hilfswerk und der Bundeswehr aufgefangen werden. Im Sektor Telekommunikation wird demgegenüber zum Teil auf lediglich 100.000 Teilnehmer abgestellt, da dieser Wert bereits in § 1 des Post- und Telekommunikationssicherstellungsgesetzes (PTSG) verankert ist.

Nach Schätzungen des BMI werden durch die Verordnung etwa 650 Anlagen als Kritische Infrastruktur eingestuft.

Die Rechtsverordnung behandelt in ihrer jetzigen Form nur die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation und soll nach Angaben des BSI noch im Frühjahr 2016 erlassen werden. Die Bereiche Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen sollen bis Ende 2016 folgen.

Das Inkrafttreten der Verordnung wird für die Betreiber Kritischer Infrastrukturen Fristen in Gang setzen. So ist dem BSI innerhalb von sechs Monaten eine Kontaktstelle zur Krisenkommunikation zu benennen. Über diese Kontaktstelle müssen die Meldepflichten erfüllt werden. Binnen zwei Jahren sind „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit (der) informationstechnischen Systeme, Komponenten oder Prozesse“ nach dem jeweiligen Stand der Technik zu treffen und deren Erfüllung nachzuweisen.

Die Kritis-Verordnung wird zwar zu mehr Rechtssicherheit im Hinblick auf die Anwendbarkeit der Regelungen des BSI-Gesetzes beitragen. Es gibt jedoch weiterhin Unsicherheiten. So besteht nach wie vor ein weiter Interpretationsspielraum, ob eine IT-Sicherheitsmaßnahme als „angemessen“ angesehen werden kann oder ob eine Störung als „erheblich“ einzustufen ist. Betreiber Kritischer Infrastrukturen sollten deshalb die Möglichkeit in Betracht ziehen, selbst oder über Branchenverbände branchenspezifische Sicherheitsstandards zu formulieren und diese vom BSI als geeignet feststellen zu lassen (wie in § 8a Absatz 2 des BSI-Gesetzes vorgesehen). Zudem sollten aktuelle Diskussionen und Publikationen zum Thema IT-Sicherheitsstandards aufmerksam verfolgt werden.

Die Einrichtung einer übergeordneten sektorspezifischen Ansprechstelle gemäß § 8b Absatz 5 des BSI-Gesetzes kann darüber hinaus den Kommunikationsaufwand mit dem BSI verringern.

Den vollständigen Text des Referentenentwurfs finden Sie unter:

Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) 

 

Haben Sie Fragen? Kontaktieren Sie gerne: Julian von Lucius
Practice Group:      Telekommunikation, Regulierung & Governmental Affairs