Am 25. Juli 2015 ist das neue IT-Sicherheitsgesetz in Kraft getreten. Auch wenn viele Teile des Gesetzes derzeit noch nicht anwendbar sind, ist jedoch bereits jetzt absehbar, dass das Gesetz die Bedeutung von IT-Sicherheit in deutschen Unternehmen spürbar aufwerten wird. Erstmals normiert ein Gesetz flächendeckend konkrete Pflichten bei dem Betrieb von IT-Systemen. IT-Sicherheit wird künftig einen großen Teil dessen ausmachen, was neuerdings unter dem Begriff IT-Compliance verstanden wird.
Foto: Maksim Kabakou - shutterstock
Der Großteil der Pflichten des IT-Sicherheitsgesetzes trifft Betreiber kritischer Infrastrukturen in bestimmten Sektoren. Vollkommen nebulös ist jedoch, was unter dem Begriff der kritischen Infrastruktur zu verstehen ist. Das Gesetz definiert den Begriff kryptisch als
"Einrichtungen oder Anlagen oder Teile hiervon, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden."
Anschließend wird auf eine Rechtsverordnung verwiesen, in der weitere Einzelheiten geregelt werden sollen. Dies wird voraussichtlich dazu führen, dass eine Rechtsverordnung zahlreiche Einrichtungen oder Anlagen in den einzelnen Sektoren mehr oder weniger abstrakt beschreibt und auflistet.
Verweisungstechnik führt zu erheblichen Rechtsunsicherheiten
Derartige Verweisungstechniken sind keine Seltenheit. Sie haben den Vorteil, dass die Urheber einer Rechtsverordnung in der Regel sachnäher sind als die Urheber eines förmlichen Gesetzes. Zudem lassen sich Verordnungen in der Regel unkomplizierter an neue Gegebenheiten anpassen. Der Preis für diese Vorteile liegt indes darin, dass das Gesetz spürbar an Bestimmtheit einbüßt.So liegt der Fall auch beim IT-Sicherheitsgesetz. Wer im Gesetz nach konkreten Antworten zu der Gretchen-Frage sucht, ob er künftig als Betreiber kritischer Infrastrukturen anzusehen ist, wird nach Lektüre der entscheidenden Norm nur wenig schlauer sein als vorher.
Gesetzesmaterialien erwähnen Qualität und Quantität
Dass die Verweisungstechnik des IT-Sicherheitsgesetzes erhebliches Frustrationspotential beinhaltet, war offenbar auch dem Gesetzgeber bewusst. Wahrscheinlich nahm der Gesetzgeber eben dieses Frustrationspotential zum Anlass, um Hinweise in die Gesetzesmaterialien aufzunehmen. Diese Hinweise sollen für den Ersteller der Rechtsverordnung eine Richtschnur darstellen. Danach soll die Definition kritischer Infrastrukturen nach den Parametern Qualität und Quantität erfolgen. Erst wenn beide Voraussetzungen vorliegen, soll die Rechtsverordnung zu einer Bejahung einer kritischen Infrastruktur kommen. Zwar erlauben auch diese Parameter nicht die Einordnung konkreter Anlagen. Sie erlauben jedoch, sich dem Begriff der kritischen Infrastruktur so weit anzunähern, dass ein belastbares Bild dessen entsteht, was in Zukunft als kritische Infrastruktur anzusehen sein wird.
Das Merkmal der Qualität soll immer dann gegeben sein, wenn mit einer Einrichtung oder Anlage eine für die Gesellschaft kritische Dienstleistung erbracht wird. Hier hat der Gesetzgeber bereits erste Vorarbeiten geleistet und Beispiele für qualitative Dienstleistungen in den vom Gesetz betroffenen Sektoren vorgestellt. Danach soll das Qualitätsmerkmal insbesondere bei folgenden Dienstleistungen gegeben sein:
Sektor | Dienstleistung / Branche |
Energie | · Stromversorgung |
Informationstechnik und Telekommunikation | · Sprach- und Datenkommunikation |
Transport und Verkehr | · Transport von Gütern |
Gesundheit | · Medizinische Versorgung |
Wasser | · Trinkwasserversorgung |
Ernährung | · Versorgung mit Lebensmittel |
Finanz- und Versicherungswesen | · Zahlungsverkehr Zahlungsdienstleistungen durch Überweisung, Zahlungskarten und E-Geld |
Das Merkmal der Quantität soll die Frage beantworten, ob die Beeinträchtigung der Einrichtung oder Anlage wesentliche Folgen für wichtige Schutzgüter und das Gemeinwesen zur Folge hat. Das Merkmal betrifft die Frage, ob die Auswirkungen eines Ausfalls der jeweiligen Einrichtung oder Anlage für die Versorgung einer großen Zahl von Personen wesentlich sind. Hier ist wohl geplant, dass die Rechtsverordnung für jeden Sektor einen spezifischen Schwellenwert festlegt, der Unternehmen eine eigene Bewertung des Quantitätsmerkmals erlaubt.
Rechtsverordnung tritt in zwei Körben in Kraft
Geplant ist, dass die Rechtsverordnung in zwei Körben in Kraft tritt. Der erste Korb betrifft die Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung sowie Wasser und soll im ersten Quartal 2016 in Kraft treten. Der zweite Korb soll Ende 2016 in Kraft treten und die Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen betreffen.
Wer schon vor dem Inkrafttreten der Rechtsverordnung eine erste, vorläufige Einschätzung darüber gewinnen will, ob ein bestimmtes Unternehmen künftig als Betreiber kritischer Infrastrukturen einzuordnen sein wird, kann sich dieser Frage durch die Beantwortung folgender Kontrollfragen nähern:
Frage 1 zur Sektorentätigkeit: Ist das Unternehmen in einem der genannten Sektoren angesiedelt? |
Frage 2 zur Vorlage des Qualitätsmerkmals: Führt ein Ausfall bestimmter Einrichtungen oder Anlagen zu Versorgungsengpässen oder Gefährdungen für die öffentliche Sicherheit? |
Frage 3 zur Vorlage des Qualitätsmerkmals: Berührt ein Ausfall der Einrichtung oder Anlage eine beträchtliche Anzahl von Personen? |
Sofern diese drei Kontrollfragen bejaht werden, ist eine Eigenschaft als Betreiber kritischer Infrastrukturen wahrscheinlich. Sofern kein sonstiger Ausschlussgrund vorliegt, ist dann davon auszugehen, dass dieses Unternehmen in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen wird.
In dem Fall ist eine intensive Auseinandersetzung mit den gesetzlichen Pflichten dringend geboten. Zwar mag das IT-Sicherheitsgesetz derzeit in wesentlichen Punkten noch nicht anwendbar sein. Sobald die Rechtsverordnung veröffentlicht ist, laufen jedoch knapp bemessene Fristen, deren Einhaltung herausfordernd sein wird. Gerade für mittelständische Unternehmen, die dem Thema IT-Sicherheit bislang nur wenig Aufmerksamkeit geschenkt haben, ist daher jeder zusätzliche Tag wertvoll. Sofern eine Einordnung als Betreiber kritischer Infrastruktur überwiegend wahrscheinlich ist, sollte daher die Umsetzung der gesetzlichen Pflichten möglichst zeitnah angegangen werden. (bw)