Skip to main content

 

last updated: July 2018


IT-Sicherheitsgesetz umgesetzt | Wichtige Fragen jedoch nach wie vor offen

Nachdem die Bundesregierung Ende Mai 2017 der vom Bundesminister des Inneren vorgelegten Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen zugestimmt hat und dieser sogenannte 2. Korb der BSI-Kritisverordnung Ende Juni 2017 in Kraft getreten ist, gilt das IT-Sicherheitsgesetzes als final umgesetzt. Viele Fragen der Unternehmen bleiben jedoch vorerst ungeklärt.

After the German government had agreed to changing the regulation for determining critical infrastructures in May 2017, the second part of such regulation entered into force in June 2017 making the introduction of the German IT Security Act law complete. However, many of companies’ questions remain open.


1. Was bisher geschah

Bereits im Juli 2015 trat das IT-Sicherheitsgesetz in Kraft und legte neue Pflichten für Betreiber Kritischer Infrastrukturen („KRITIS“) gesetzlich fest. Nach Erlass einer ersten BSI-Kritisverordnung im Mai 2016 (sog. 1. Korb) wurde bereits ein Teil der KRITIS in die Lage versetzt, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. Neben den im 1. Korb enthaltenen Sektoren „Energie“, „Wasser“, „Ernährung“ und „Informationstechnologie und Telekommunikation“, ermöglicht es der neue 2. Korb nun auch den Betreibern aus den Bereichen „Gesundheit“, „Finanz- und Versicherungswesen“ und „Transport und Verkehr“ eine entsprechende Prüfung vorzunehmen.


2. Ist mein Unternehmen betroffen?

Dreh- und Angelpunkt der neuen Anforderungen ist § 8a BSI-Gesetz n.F. Diese Norm bestimmt, dass insbesondere KRITIS zur Einhaltung angemessener organisatorischer und technischer Vorkehrungen verpflichtet sind, „um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von Ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“. Ob mein Unternehmen als KRITIS einzustufen ist, bestimmt sich abschließend durch den 1. und 2. Korb der BSI-Kritisverordnung:

Zu den ggf. kritischen Dienstleistungen zählen die Stromversorgung, Gasversorgung, Kraftstoff- und Heizölversorgung und die Fernwärmeversorgung und mein Unternehmen gilt als KRITIS, wenn es eine der in Teil 3 zu Anhang 1 der BSI-Kritisverordnung aufgeführten Anlagen zu dem dort jeweils festgelegten Schwellenwert betreibt. Zu diesen Anlagen zählen u.a. Erzeugungsanlagen, Gasförderanlagen, Raffinerien und Heizwerke.

Zu den ggf. kritischen Dienstleistungen zählen die Trinkwasserversorgung und die Abwasserbeseitigung und mein Unternehmen gilt als KRITIS, wenn es eine der in Teil 3 zu Anhang 2 der BSI-Kritisverordnung aufgeführten Anlagen zu dem dort jeweils festgelegten Schwellenwert betreibt. Zu diesen Anlagen zählen u.a. Kläranlagen und Gewinnungsanlagen (Wasserwerke).

Zu den ggf. kritischen Dienstleistungen zählt die Versorgung der Allgemeinheit mit Lebensmitteln und mein Unternehmen gilt als KRITIS, wenn es eine der in Teil 3 zu Anhang 3 der BSI-Kritisverordnung aufgeführten Anlagen zu dem dort jeweils festgelegten Schwellenwert betreibt. Zu diesen Anlagen zählen u.a. Anlagen zur Herstellung, Behandlung und Distribution von Lebensmitteln.

Zu den ggf. kritischen Dienstleistungen zählen die Sprach- und Datenübertragung sowie die Datenspeicherung und -verarbeitung und mein Unternehmen gilt als KRITIS, wenn es eine der in Teil 3 zu Anhang 4 der BSI-Kritisverordnung aufgeführten Anlagen zu dem dort jeweils festgelegten Schwellenwert betreibt. Zu diesen Anlagen zählen u.a. Übertragungsnetze für öffentlich zugängliche Telefondienste, Rechenzentren (Housing) und Server Farmen (Hosting).

Zu den ggf. kritischen Dienstleistungen zählen die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten und die Laboratoriumsdiagnostik und mein Unternehmen gilt als KRITIS, wenn es eine der in Teil 3 zu Anhang 5 der BSI-Kritisverordnung aufgeführten Anlagen zu dem dort jeweils festgelegten Schwellenwert betreibt. Zu diesen Anlagen zählen u.a. Krankenhäuser, Produktionsstätten und Apotheken.

Zu den ggf. kritischen Dienstleistungen zählen die Bargeldversorgung, der kartengestützte und konventionelle Zahlungsverkehr, die Verrechnung und Abwicklung von Wertpapier- und Derivatengeschäften und Versicherungsdienstleistungen und mein Unternehmen gilt als KRITIS, wenn es eine der in Teil 3 zu Anhang 6 der BSI-Kritisverordnung aufgeführten Anlagen zu diesen dort jeweils festgelegten Schwellenwert betreibt. Zu den Anlagen zählen u.a. Autorisierungssysteme, Clearing-Systeme, Kontenführungssysteme und Schadenssysteme.

Zu den ggf. kritischen Dienstleistungen zählt die Versorgung der Allgemeinheit mit Leistungen zum Transport von Personen und Gütern und mein Unternehmen gilt als KRITIS, wenn es eine der in Teil 3 zu Anhang 7 der BSI-Kritisverordnung aufgeführten Anlagen zu dem dort jeweils festgelegten Schwellenwert betreibt. Zu diesen Anlagen zählen u.a. System zur Passagierabfertigung, Güterbahnhöfe, Schienennetze und Satellitennavigationssysteme.

Darüber hinaus gelten besondere Anforderungen auch für Betreiber von Webangeboten und Telekommunikationsunternehmen.


3. Was gilt als "Stand der Technik"?

Wenn mein Unternehmen als KRITIS gilt, dann ist es verpflichtet die oben genannten Anforderungen entsprechend dem Stand der Technik einzuhalten. Was jedoch genau darunter zu verstehen ist, führen weder Gesetz noch die beiden Verordnungen oder die Gesetzesbegründung hinreichend aus.

Stattdessen soll die Erstellung sog. Branchenspezifischer Sicherheitsstandards („B3S“) dazu dienen, dass einzelne Branchen ausgehend von der eigenen Expertise selber Vorgaben zum Stand der Technik formulieren. Auch wenn ein vorhandener B3S nicht zwingend einzuhalten ist, so gibt dieser dennoch gute Ansatzpunkte für betroffene Unternehmen und sorgt nicht zuletzt aufgrund der Tatsache, dass das BSI einen B3S auf seine Eignung prüft, für hinreichende Rechtssicherheit. Die Erarbeitung von B3S hat in den ersten Branchenarbeitskreisen („BAK“) des UP KRITIS, einer etablierten Kooperationsplattform zwischen Betreibern und Staat, bereits begonnen und für den Sektor Wasser sowie Ernährung wurde ein B3S sogar bereits vom BSI anerkannt. Darüber hinaus sieht der Status hinsichtlich weiterer B3S derzeit wie folgt aus:

  • Sektor Energie: Verteilung von Fernwärme; eingereicht beim BSI von BDEW (Bundesverband der Energie- und Wasserwirtschaft e. V.).
  • Sektor Energie: Anlage oder Systeme zur Steuerung/Bündelung elektrischer Leistungen; eingereicht beim BSI vom BDEW (Bundesverband der Energie- und Wasserwirtschaft e. V.)
  • Sektor IT und TK: Housing, Hosting und CDN; eingereicht beim BSI vom BAK Datacenter & Hosting.
  • Sektor Finanz- und Versicherungswesen: Sicherer IT-Betrieb Variante Banken und Versicherungen; eingereicht beim BSI vom Deutschen Sparkassen- und Giroverband e. V.
  •  Sektor Gesundheit: Es befinden sich derzeit keine B3S in der Vorabeignungsprüfung beim BSI.
  • Sektor Transport und Verkehr: Es befinden sich derzeit keine B3S in der Vorabeignungsprüfung beim BSI.

Neben dem Sektor Wasser und Ernährung sind somit zwar für vereinzelte weitere Betriebe erste B3S bereits beim BSI eingereicht, wann mit einer entsprechenden Genehmigung durch das BSI zu rechnen ist, bleibt jedoch abzuwarten.

Viel Zeit bleibt für die ersten Unternehmen bis zur Pflicht der Umsetzung der neuen Anforderungen jedoch nicht mehr. Ihr Unternehmen hat ab Inkrafttreten des entsprechenden Korbs der BSI-Kritisverordnung zwei Jahre Zeit, die Vorkehrungen nach dem Stand der Technik zu treffen. Für Betriebe, die unter den 1. Korb fallen bedeutet das eine Zielvorgabe zum Mai 2018, während sich Betriebe des 2. Korbs bis mindestens Juni 2019 Zeit lassen dürfen.

Nicht zuletzt vor diesem Hintergrund wäre eine rasche Entwicklung auf diesem Gebiet wünschenswert, um die nötige Rechtssicherheit herzustellen.


4. Weiterhin erwähnenswert: Anpassung des IT-Sicherheitsgesetztes

Bereits im April 2017 hat der Bundestag das Gesetz zur Umsetzung der EU-Richtlinie 2016/1148 „über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ („NIS-RL“) beschlossen. Durch das deutsche Umsetzungsgesetz zur NIS-RL erfährt das IT-Sicherheitsgesetz weitere Anpassungen an das aktuelle EU-Recht. Zu den wichtigsten Neuerungen zählen:

  • Erweiterte Möglichkeiten des BSI personenbezogene Daten an Nachrichtendienstbehörden zu übermitteln.
  • Einführung sogenannter Mobile Incident Response Teams, die in Notfällen die Funktionsfähigkeit einer IT-Infrastruktur möglichst schnell wiederherstellen sollen.
  • KRITIS-ähnlicher Status für Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste mit der Folge, dass diese Anbieter zur Einhaltung technischer und organisatorischer Maßnahmen verpflichtet sind und einer Meldepflicht unterliegen.

Ausblick

  • Mai 2018: Unternehmen, die unter den 1. Korb der BSI-Kritisverordnung fallen, müssen alle Vorkehrungen nach dem Stand der Technik getroffen haben.
  • Juni 2019: Unternehmen, die unter den 2. Korb der BSI-Kritisverordnung fallen, müssen alle Vorkehrungen nach dem Stand der Technik getroffen haben.