Die Kritischen Infrastrukturen nach dem IT-Sicherheitsgesetz

Der Entwurf der Bundesregierung zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz oder IT-SiG) vom 25.02.2015 sieht unter anderem Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI-Gesetz oder BSIG) vor. Dadurch soll beispielsweise die IT-Sicherheit von Unternehmen verbessert und die Bürgerinnen und Bürger im Internet besser geschützt werden (BT-Drucks. 18/4096, S. 1).
Der Gesetzesentwurf sorgt für viele Unsicherheiten. Insbesondere ist dem Entwurf nicht zweifelsfrei zu entnehmen, wer zu den sogenannten Kritischen Infrastrukturen gehört und somit zum Anwendungsbereich des Gesetzes gehört. Vor allem in Bezug auf die öffentlichen Verwaltungen besteht Klärungsbedarf.

1. Was sind Kritische Infrastrukturen?

a. Bisherige Definition ohne eine Rechtsverordnung

Zunächst muss dafür betrachtet werden, welche Infrastrukturen als Kritische Infrastruktur nach dem Gesetzesentwurf zu qualifizieren ist.
Der Gesetzesentwurf sieht eine Definition für Kritische Infrastrukturen vor, die allerding noch durch eine Rechtsverordnung näher bestimmt werden soll (§ 2 Abs. 10 BSIG-E). Hiernach sind Kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon, die
1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören
und
2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

b. Öffentliche Verwaltung

Vor diesem Hintergrund stellt sich die Frage, ob für öffentliche Verwaltungen, soweit diese Betreiber von Kritischen Infrastrukturen sind, die Vorschriften zu den Kritischen Infrastrukturen Anwendung finden und somit ihnen dieselben Pflichten auferlegt sind.

Stellt man auf den Wortlaut des § 2 Abs. 10 BSIG-E ab, so können auch öffentliche Verwaltungen unter den Begriff der Kritischen Infrastrukturen fallen und damit ist eine Anwendung der Vorschriften zu den Kritischen Infrastrukturen denkbar.
Gegen ein solches Verständnis spricht allerdings der gesetzgeberische Wille. In der Gesetzesbegründung des Entwurfs des IT-Sicherheitsgesetzes wird die Anwendung der Normen zu den Kritischen Infrastrukturen für die Verwaltung von Regierung und Parlament sowie die öffentliche Bundesverwaltung und die von ihr eingesetzte Technik (einschließlich der Technik, die im Auftrag der Bundesverwaltung betrieben wird) ausgeschlossen und als Spezialregelung §§ 4, 5 und 8 des BSIG angeführt (BT-Drucks. 18/4096, S. 24). Entsprechendes soll danach auch für die Verwaltungen der Länder und Kommunen und den Sektor Kultur und Medien gelten. Zusätzlich bestanden bereits vor Schaffung des Entwurfs für das IT-Sicherheitsgesetzes in den §§ 4, 5 und 8 BSIG separate Regelungen für Behörden. Diese Normen sollen durch den Gesetzesentwurf nicht erweitert werden. Der Gesetzgeber sieht somit keinen Bedarf für eine Erweiterung des Anwendungsbereiches, sonst hätte er diese auch vorgenommen.
Dem entspricht auch die Systematik des Gesetzes. Die Pflichten für Kleinstunternehmen werden durch den Entwurf des IT-Sicherheitsgesetzes eingeschränkt, allerdings wird eine dementsprechende Beschränkung für kleinere öffentliche Verwaltungen nicht vorgeschrieben. Es wäre jedoch nur logisch eine Begrenzung auch für kleinere öffentliche Verwaltungen vorzunehmen, sofern diese auch unter den Anwendungsbereich fallen. Für eine andere Behandlung besteht kein Grund. Weiterhin existieren bereits in den §§ 4, 5 und 8 des BSIG Regelungen für Bundesbehörden. Diese Normen würden zumindest teilweise ihren Zweck verlieren, soweit die Regelungen zu den Kritischen Infrastrukturen auch für Bundesbehörden gelten sollen. Bei den §§ 4, 5 und 8 des BSIG handelt es sich um spezielle Regelungen für Behörden, sodass diese den allgemeinen Regelungen zu den Kritischen Infrastrukturen vorgehen müssen.
Hierfür spricht auch das Ziel des Gesetzesentwurfes, denn es soll vor allem die IT-Sicherheit von Unternehmen verbessert werden. In den Zielen wird keinerlei Bezug zu der IT-Sicherheit der öffentlichen Verwaltung genommen.
Weiterhin besitzt der Bund wegen der fehlenden speziellen Kompetenzgrundlage keine Gesetzgebungskompetenz für Verwaltungen der Länder und Kommunen sowie den Sektor Kultur und Medien. Daraus würde sich eine formelle Verfassungswidrigkeit des Gesetzes ergeben, soweit eine Anwendbarkeit der Vorschriften zu den Kritischen Infrastrukturen angenommen wird. Das Gesetz würde somit nicht verfassungsgemäß sein. Eine Nichtanwendbarkeit der Normen würde wegen der bestehenden Gesetzgebungskompetenz des Bundes hingegen zu einem verfassungskonformen Ergebnis führen.

Nach alledem sollen die öffentlichen Verwaltungen von der Anwendbarkeit der Normen zu den Kritischen Infrastrukturen ausgenommen sein. Würde man dies anders sehen, würde ein Gesetz geschaffen werden, das nicht im Einklang mit der Verfassung steht. Auch würde es sich hierbei um ein neues Gesetz handeln, sodass sich noch keine wesentlichen Umstände geändert haben und der gesetzgeberische Wille aus diesem Grund besondere Beachtung finden muss.
Zu beachten ist jedoch eine mögliche Anwendbarkeit der Vorschriften für die öffentliche Verwaltung, soweit diese privatrechtlich tätig wird.

2. Bedeutung und Folgen

Die Einordnung als Kritische Infrastruktur hat weitreichende Auswirkungen und sollte deshalb genau geprüft werden, um nicht die auferlegten Pflichten zu verletzen. So müssen die Betreiber einer Kritischen Infrastruktur beispielsweise umfangreiche Vorkehrungen zur Vermeidung von informationstechnischen Störungen treffen (§ 8a Abs. 1 BSIG-E). Hierzu können gewisse Standards durch eine Branche festgelegt werden, wodurch sogar noch höhere Standards vorausgesetzt werden könnten (§ 8a Abs. 2 BSIG-E). Weiterhin muss die Einhaltung des Standards alle zwei Jahre dem Bundesamt nachgewiesen werden (§ 8a Abs. 3 BSIG-E). Von besonderer Bedeutung ist allerdings, dass hierbei alle aufgedeckten Sicherheitsmängel durch den Betreiber an das Bundesamt zu übersenden sind (§ 8a Abs. 3 BSIG-E). Das Bundesamt kann dann die Beseitigung der Sicherheitsmängel verlangen (§ 8a Abs. 3 BSIG-E) und Warnungen an die Öffentlichkeit oder auch nur an die Betroffenen richten (§ 7 Abs. 1 BSIG-E). Zusätzlich darf das Bundesamt Untersuchungen von IT-Produkten und Systemen vornehmen und die Erkenntnisse auch weitergeben sowie veröffentlichen (§ 7a BSIG-E). Erhebliche Sicherheitsmängel sind in jedem Fall dem Bundesamt unverzüglich mitzuteilen (§ 8b Abs. 4 BSIG-E). Ferner wird Dritten die Möglichkeit eines Auskunftsanspruches bzgl. der gesammelten Informationen der Kritischen Infrastrukturen gegeben (§ 8d BSIG-E).

Besonders zu beachten ist in diesem Zusammenhang, dass nicht für jede Kritische Infrastruktur dieselben Bestimmungen gelten. Die Pflichten aus § 8a BSIG-E oder § 8b BSIG-E bestehen für manche Kritischen Infrastrukturen nicht (§ 8c BSIG-E). So muss ein Kleinstunternehmen z. B. den Verpflichtungen aus § 8a BSIG-E und § 8b BSIG-E nicht nachkommen(§ 8c Abs. 1 BSIG-E).
Weiterhin gilt § 8a BSIG-E nicht für
1. Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,
2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 3 des IT-Sicherheitsgesetzes geändert worden ist, in der jeweils geltenden Fassung,
3. Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 2 des IT-Sicherheitsgesetzes geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich der Genehmigung sowie
4. sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind (§ 8c Abs. 2 BSIG-E).
Außerdem ist § 8b Absatz 3 bis 5 nicht anzuwenden auf
1. Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,
2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes,
3. Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes für den Geltungsbereich der Genehmigung sowie
4. sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8b Absatz 3 bis 5 vergleichbar oder weitergehend sind (§ 8c Abs. 3 BSIG-E).

Soweit die umfassenden Pflichten befolgt werden müssen, ist deren Einhaltung kosten- und zeitintensiv. Hierdurch können nachteilige Folgen für den Betreiber im Wettbewerb eintreten. Vor allem hat eine ausgesprochene Warnung des Bundesamtes für Unternehmen eine große Relevanz. Eine einmal ausgesprochene Warnung wird sich schnell verbreiten und diese Verbreitung ist für betroffene Unternehmen nur wenig kontrollierbar. Zusätzlich bleibt eine Warnung, insbesondere durch Medienberichte, langfristig abrufbar.

Dementsprechend ist es ratsam, sich genau über die richtige Einordnung vor dem Inkrafttreten des Gesetzes zu informieren und gegebenenfalls seine eigene IT-Sicherheit zu überprüfen.

 

UPDATE: Neues Video

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 14 Bewertung(en), durchschnittlich: 4,71 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen