Bundesrechenzentrum: Auf jeden Fall eine Kritische Infrastruktur!

Um das zukünftige gibt es zwischen den Bundesministerien diverse Diskussionen. Erst vor einiger Zeit gewann das Bundesministerium der Finanzen den Machtkampf gegen das Bundesministerium des Inneren. Nunmehr gibt es Diskussionen, welche Rechtsform zukünftig das haben soll. Nach einem ersten Arbeitspapier des Bundesministeriums der Verteidigung soll das keine „Behörde“ sein. In der näheren Diskussion ist als Rechtsform eine Anstalt des öffentlichen Rechts (AöR) oder eine GmbH. Ziel ist es, mit dem mehr Wirtschaftlichkeit, Innovationsfähigkeit und Arbeitgeberattraktivität zu erreichen. Auf diese Weise soll das in Wettbewerb zu privaten IT-Dienstleistern treten.

Hier sollte aus unserer Sicht noch einmal kritisch nachgedacht werden. Wenn das Bundesrechenzentrum als Anstalt öffentlichen Rechts oder als GmbH geführt wird, ist in Anbetracht der sensiblen Anwendungen davon auszugehen, dass dieses neue rechtliche Gebilde sich den Anforderungen des IT-Sicherheitsgesetzes stellen muss. Zwar hat der Gesetzgeber in der Gesetzesbegründung zum IT-Sicherheitsgesetz ausgeführt, dass die öffentliche Verwaltung aus dem Anwendungsbereich der Vorschriften ausgenommen werden soll. Wenn aber eine eigene rechtliche Gesellschaft, gleich in welcher Rechtsform, gegründet wird, entsteht eine rechtliche Einheit außerhalb der öffentlichen Verwaltung. Damit ist dann die Ausnahmeregelung aus der Gesetzesbegründung nicht mehr anwendbar.

Wie alle anderen Kritischen Infrastrukturen auch, muss dann das Bundesrechenzentrum eine Kontaktstelle einrichten, Mindeststandards einhalten und Audits durchführen. Es ist dann nicht zu erkennen, dass eine Ausnahmeregelung des IT-Sicherheitsgesetzes Anwendung findet.

Möglicherweise ist dieser Aspekt aber auch gewollt. Dann muss sich das Bundesrechenzentrum nur darauf einstellen, dass beispielsweise zukünftig ISO-Zertifizierungen verlangt werden. Im Moment verlangt die Bundesnetzagentur für Kritische Infrastrukturen aus dem Sektor Energie eine Zertifizierung nach ISO 27001. Es wird sich in den nächsten Wochen und Monaten aufgrund der noch zu veröffentlichenden Rechtsverordnungen entscheiden, welche Standards für die anderen Sektoren erwartet werden. Es ist wohl unwahrscheinlich, dass erheblich geringere Standards für die anderen Sektoren verlangt werden. Damit wird dann das Bundesrechenzentrum gleich in der Gründungsphase mit den Anforderungen eines Audits konfrontiert werden.

Wir sind gespannt, ob dieser Aspekt in der nächsten Zeit weiter Beachtung findet und in die Planungen einfließt.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*