Festlegung der Adressaten

Erste Entwürfe zu Vorgaben im IT-Sicherheitsgesetz

25.02.2016
Von    und  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Das Bundesinnenministerium hat einen ersten Entwurf für eine Rechtsverordnung vorgelegt, welche die Vorgaben des IT-Sicherheitsgesetzes konkretisiert. Die Rechtsverordnung "BSI-Kritisverordnung" legt fest, welche Betreiber von kritischen Infrastrukturen die Vorgaben des IT-Sicherheitsgesetzes umsetzen müssen. Voraussichtlich sind rund 650 Anlagen betroffen. Die Anzahl der unmittelbar betroffenen Betreiber dürfte aber deutlich geringer sein.

Im Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Durch das Gesetz werden Betreiber kritischer Infrastrukturen verpflichtet, besondere Maßnahmen zum Schutz der Informationstechnik zu ergreifen. Seit Inkrafttreten des Gesetzes war unklar, welche Unternehmen konkret als Betreiber kritischer Infrastrukturen anzusehen sind. Das Gesetz definiert Kritische Infrastrukturen als Einrichtungen, Anlagen oder Teile davon, die

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und

  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Die Umsetzung des IT-Sicherheitsgesetzes verlangt von vielen Unternehmen eine genaue Evaluierung ihrer Infrastrukturen.
Die Umsetzung des IT-Sicherheitsgesetzes verlangt von vielen Unternehmen eine genaue Evaluierung ihrer Infrastrukturen.
Foto: fotogestoeber - shutterstock.com

Aufgrund dieser Definition war unklar, welche Unternehmen von dem unmittelbaren Anwendungsbereich des IT-Sicherheitsgesetzes betroffen sind. Der Gesetzgeber war sich dieses Problems bewusst und hat bereits im Gesetz vorgesehen, dass die kritischen Infrastrukturen durch eine Rechtsverordnung näher bestimmt werden. Jetzt liegt der erste Entwurf dieser Rechtsverordnung (kurz: BSI-KritisV) vor.

Bewertung nach qualitativen und quantitativen Kriterien

Bereits in der Gesetzesbegründung des IT-Sicherheitsgesetzes hatte der Gesetzgeber vorgeschlagen, welche Methodik und Inhalte die Rechtsverordnung haben sollte. Danach sollen in der Rechtsverordnung qualitative und quantitative Kriterien beschrieben werden, anhand der die Kritischen Infrastrukturen identifiziert werden sollen. In qualitativer Hinsicht soll entschieden werden, ob mittels der Einrichtung oder Anlage eine für die Gesellschaft kritische Dienstleistung erbracht wird.

In quantitativer Hinsicht soll die Rechtsverordnung Schwellenwerte definieren. Grundlage für die Bestimmung des Schwellenwertes ist, ob ein Ausfall oder eine Beeinträchtigung der jeweiligen Einrichtung und/oder Anlage unmittelbar oder mittelbar wesentliche negative Folgen für wichtige Schutzgüter, wie Leib, Leben, Gesundheit und Eigentum, und die Funktionsfähigkeit des Gemeinwesens hat.

Kritische Dienstleistungen und Anlagen

Die Rechtsverordnung legt zunächst fest, welche Dienstleistungen innerhalb der benannten Sektoren als Kritische Dienstleistungen einzustufen sind. Kritische Dienstleistungen sind Dienstleistung zur Versorgung der Allgemeinheit in den benannten Sektoren, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit oder zu vergleichbaren Folgen führen würde.

Im Sektor Energie sind Kritische Dienstleistungen zum Beispiel die Versorgung der Allgemeinheit mit Elektrizität, die Versorgung der Allgemeinheit mit Gas, die Versorgung der Allgemeinheit mit Kraftstoff und Heizöl sowie die Versorgung der Allgemeinheit mit Fernwärme. Hierdurch wird der weite Begriff der Kritischen Infrastrukturen weiter konkretisiert.

Die Rechtsverordnung legt weiter fest, welche Kategorien von Anlagen für die kritische Dienstleistung notwendig sind und was unter dem Begriff "Anlage" zu verstehen ist. Anlagen sind

  • Betriebsstätten und sonstige ortsfeste Einrichtungen und

  • Maschinen, Geräte und sonstige ortsveränderliche technische Einrichtungen,

die zur Erbringung einer kritischen Dienstleistung erforderlich sind. Einer Anlage sind zudem alle vorgesehenen Anlagenteile und Verfahrensschritte zuzurechnen, die zum Betrieb notwendig sind, sowie Nebeneinrichtungen, die mit den Anlagenteilen und Verfahrensschritten in einem betriebstechnischen Zusammenhang stehen und die für die Erbringung einer kritischen Dienstleistung von Bedeutung sein können. Liegt danach eine Anlage oder Einrichtung vor, die zur Erbringung einer Kritischen Dienstleistung erforderlich ist und erreicht diese den branchenspezifischen Schwellenwert, ist diese Anlage oder Einrichtung als kritische Infrastruktur einzuordnen und unterfällt damit den Regelungen des IT-Sicherheitsgesetzes.

Branchenspezifische Schwellenwerte

Die Rechtsverordnung legt sodann für jede kritische Dienstleistung die branchenspezifischen Schwellenwerte fest. Hier sieht die Rechtsverordnung eine "500.000"er Regelung vor. Nach Anwendung dieser Regelung wird der jeweils branchenspezifische Schwellenwert jeweils danach berechnet, welchen Bedarf an der jeweiligen kritischen Dienstleistung 500.000 Personen haben würden. Erreicht eine Anlage oder Einrichtung oder Teile davon diesen Schwellenwert, liegt eine Kritische Infrastruktur vor.
Die Rechtsverordnung enthält insoweit eine Vielzahl von Berechnungsvorgaben, anhand derer jedes potentiell betroffene Unternehmen bestimmen muss, ob von ihm betriebene Einrichtungen oder Anlagen unter das IT-Sicherheitsgesetz fallen. Für Rechenzentren gilt beispielsweise eine vertraglich vereinbarte Leistung von 5 MW im Jahresdurchschnitt als Schwellenwert, während bei Trust-Centern 500.000 Zertifikate erforderlich sein sollen.

Handlungsbedarf

Sobald der Entwurf der Rechtsverordnung verabschiedet wird, haben die betroffenen Betreiber sechs Monate Zeit, die Voraussetzungen zur Erfüllung der Meldepflicht umzusetzen. Innerhalb von weiteren zwei Jahren ab Inkrafttreten der Rechtsverordnung müssen die Betreiber die notwendigen Sicherheitsmaßnahmen umsetzen. Für Unternehmen aus den betroffenen Sektoren empfiehlt es sich also bereits jetzt zu ermitteln, ob sie oder Teile ihrer Anlagen und Einrichtungen nun in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen werden. Zudem müssen die weiteren Entwicklungen im Rahmen der Rechtsverordnung eng beobachtet werden. (bw)