04.03.2016

IT-Sicherheitsgesetz: Entwurf definiert Betreiber Kritischer Infrastrukturen

Bereits am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten (wir berichteten), das für Betreiber kritischer Infrastrukturen besondere Sicherheitspflichten in Gestalt von organisatorischen, technischen und angemessenen Vorkehrungen gegen IT-Sicherheitsfälle vorsieht.  Eine konkrete Definition, welche Betreiber genau betroffen sind, wurde einer gesonderten Rechtsverordnung vorbehalten.  Nunmehr hat das Bundesministerium des Inneren (BSI) einen Referentenentwurf einer Verordnung zur Bestimmung von kritischer Infrastrukturen vorgelegt. 

Dieser Verordnungsentwurf sieht für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung eine konkrete Definition kritischer Anlagen sowie deren Betreiber vor.  Insgesamt umfasst Rechtsverordnung etwa 680 Anlagen aus allen Sektoren, wobei die Bestimmung für jeden Sektor nach eigenen Kriterien in einem eigenen Anhang zu der Rechtsverordnung anhand bestimmter Schwellenwerte erfolgt.

Kritische Infrastrukturen: Informationstechnik und Telekommunikation

Für den Bereich Informationstechnik und Telekommunikation sieht § 5 der Rechtsverordnung zunächst vor, dass Sprach- und Datenübertragung sowie Datenspeicherung und –verarbeitung kritische Dienstleistungen im Sinne des § 10 BSI-Gesetz/IT-Sicherheitsgesetz seien.  Kritische Infrastrukturen in diesem Sektor sind somit zum einen Anlagen, die eine solche kritische Dienstleistung erbringen, wobei in Anhang 4 Teil 3 eine genauere Konkretisierung der jeweiligen Anlagenkategorie sowie der zu überschreitenden Schwellenwerte erfolgt.  Ein öffentliches Telekommunikationsnetz ist beispielsweise dann als solche Kritische Infrastruktur, wenn es mehr als 100.000 Teilnehmer versorgt.  Eine Serverfarm wiederum ist als Kritische Infrastruktur einzustufen, wenn sie mehr als 25.000 laufende Instanzen im Jahresdurchschnitt abwickelt.

Kritische Infrastrukturen: Energie, Wasser, Ernährung

Ähnliche Kriterien werden auch für die übrigen Sektoren in einzelnen Anhängen aufgestellt, sodass der Rechtsanwender nunmehr eindeutig feststellen kann, ob er von dem BSI-Gesetz erfasst ist oder nicht.  Eine Erzeugungsanlage für Strom ist hiernach als Kritische Infrastruktur anzusehen, wenn die installierte Leistung in MW 420 übersteigt; ein Heizwerk für Fernwärmeversorgung beim Überschreiten von einer durchschnittlich ausgeleiteten Wärmeleistung von mehr als 260 MWTHpro Jahr.  Anlagen zur Produktion von Agrarerzeugnissen wiederum sind als Kritische Infrastruktur einzustufen, wenn die Menge der gewonnenen Agrarerzeugnisse mehr als 334.000t/Jahr an Speisen oder mehr als 274,5l/Jahr an Getränken erzeugen.

Unterjährige Überschreitung der Schwellenwerte und Evaluierung

Sollte beispielsweise ein öffentliches Telekommunikationsnetz im Laufe des Jahres die Schwelle der 100.000 versorgten Teilnehmer überschreiten, ist es mit Stichtag 1. April des Folgejahres als Kritische Infrastruktur anzusehen und der Betreiber unterliegt den Pflichten des BSI-Gesetzes.

Schließlich sieht der Entwurf vor, dass die Rechtsverordnung und die von ihr aufgestellten Kriterien vier Jahre nach Inkrafttreten nochmals zu überprüfen und zu evaluieren sind.

Angesichts der relativ hoch angesetzten Schwellenwerte dürfte kleine und mittlere Unternehmen nur bedingt von den Pflichten des IT-Sicherheitsgesetztes betroffen sein.  Gleichwohl empfiehlt sich natürlich eine kritische Auseinandersetzung mit den einzelnen Schwellenwerten – insbesondere, wenn die Überschreitung dieser unmittelbar bevorstehen könnte.