Verordnung zu Kritischen Infrastrukturen (IT-Sicherheitsgesetz) liegt vor!

Das Mitte 2015 in Kraft getretene IT-Sicherheitsgesetz drehte sich inhaltlich maßgeblich um sogenannte Kritische Infrastrukturen und den Schutz ebendieser vor IT-Sicherheitsvorfällen und IT-Risiken. Zu den wichtigsten Regelungen des IT-Sicherheitsgesetzes zählt die Meldepflicht der Kritischen Infrastrukturen an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wer allerdings zu den Kritischen Infrastrukturen gehört, sollte laut IT-Sicherheitsgesetz durch eine eigene Verordnung geregelt werden. Diese Verordnung liegt nun als Referentenentwurf vor.

Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz

Der Entwurf geht grundsätzlich davon aus, dass ab einer Versorgung von 500.000 Bundesbürgern eine Infrastruktur als kritisch anzusehen ist. Allerdings werden für die verschiedenen Sektoren (Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation) nicht lediglich 500.000 Bürger als Maß genommen, sondern diese Zahl als Rechengrundlage für bestimmte Schwellenwerte herangezogen.

In der Verordnung heißt es bezüglich dieser Bestimmung von Kritischen Infrastrukturen: “In einem ersten Schritt wird für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung bestimmt, welche Dienstleistungen wegen ihrer Bedeutung als kritisch anzusehen sind.”

Hier wird klar, dass nicht jede erdenkliche Dienstleistung aus den genannten Sektoren per se als Kritische Infrastuktur angesehen wird. Unabhängig von der Größe oder eines Schwellenwerts sind schon die Arten von Dienstleistungen durch die Verordnung bestimmt und eingeschränkt.

“In einem zweiten Schritt werden diejenigen Kategorien von Anlagen identifiziert, die für die Erbringung der kritischen Dienstleistungen erforderlich sind.”

Es wird laut Verordnung also nicht auf die Dienstleistung abgestellt, sondern auf die Anlage, die für diese Dienstleistung essentiell ist. Im Sektor “Wasser” wird also nicht per se die Bereitstellung von Wasser als Kritische Infrastruktur bewertet, sondern die jeweils in Frage stehenden Anlagen, also beispielsweise die Wasserwerke. Gem. § 1 des Referentenentwurfs einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz heißt es zu Anlagen: “Anlagen sind Beetriebsstätten oder sonstige ortsfeste Einrichtungen (…) die zur Erbringung einer kritischen Dienstleistung erforderlich sind.”

Schließlich heißt es in der Verordnung noch: “In einem dritten Schritt lassen sicha usgehend von den identifizierten Anlagenkategorien konkrete Anlagen oder Teile davon bestimmen, die einen aus gesamtgesellschaftlicher Sicht bedeutenden Versorgungsgrad aufweisen.”

Mehr Informationen: http://www.heise.de/newsticker/meldung/IT-Sicherheitsgesetz-Wer-was-wann-zu-melden-hat-3096885.html

Sektoren: Energie, Wasser, Informationstechnik/Telekommunikation und Ernährung

In dem Referentenentwurf zur Verordnung werden Anlagen der folgenden Sektoren beschrieben: Energie, Wasser, Informationstechnik/Telekommunikation und Ernährung.Für Energie wird unterteilt in Stromerzeugung, Gasverorsgung, Kraftstoff- und Heizölversorgung sowie Fernwärmeversorgung. Die dazugehörigen Schwellenwerte werden anhand der 500.000 Bundesbürger jeweils erreichnet (Erklärung ist in dem Referentenentwurf zur Verordnung enthalten). Der Sektor Wasser wird unterteilt in Abwasserbeseitigung und Trinkwasserversorgung. Für den Sektor Ernährung hat sich die generelle Kategorie Lebensmittelversorgung herausgebildet. Für die Informationstechnik und die Telekommunikation geht die Verordnung im Entwurf von Sprach- und datenübertragung sowie Datenspeicherung- und Verarbeitung aus.

Von diesem Entwurf der Verordnung sollen rund 700 Anlagen deutschlandweit betroffen sein.

Letztes Wort hat aber nicht der deutsche Gesetzgeber

Die Verordnung – sollte sie in der jetzigen Entwurfsfassung verkündet werden – schafft Klarheit bezüglich der Frage nach der Einordnung von Anlagen als Kritische Infrastruktur. Für Betreiber von diesen und ähnlichen Anlagen gilt es ab jetzt, sich auf die Regelungen des IT-Sicherheitsgesetzes vorzubereiten. Insbesondere solche Anlagen, die noch nicht die Schwellenwerte erreicht haben, dies aber in naher Zukunft oder jedenfalls irgendwann tun, sollten sich frühzeitig mit den Anforderungen auseinandersetzen.

Allerdings muss angemerkt werden, dass in Sachen IT-Sicherheit nicht der deutsche Gesetzgeber das letzte Wort hat. Aus der EU wird die NIS-Richtlinie kommen, über die wir bereits ausführlich berichtet haben. Die NIS-Richtlinie macht andere Vorgaben bezüglich der kritischen Infrastrukturen und nimmt insbesondere die gesamte öffentliche Verwaltung und andere Marktteilnehmer (IT-Dienstleister) in Anspruch. Hier wird entweder eine Anpassung des IT-Sicherheitsgesetzes notwendig werden, oder ein eigenes Gesetz zur Umsetzung der NIS-Richtlinie erforderlich sein.
https://www.recht-freundlich.de/nis-richtlinie/eu-nis-richtlinie

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*