Kritische Infrastrukturen – Was kommt auf uns zu?

Vor Kurzem haben wir über den Referentenentwurf des geplanten „IT-Sicherheitsgesetzes 2.0“ berichtet, der vom Innenministerium in die Ressortabstimmung eingebracht wurde. Wichtige Neuerungen darin sind:

  • die Aufnahme des Bereichs „Entsorgung“ in die Liste der Branchen, die Kritische Infrastrukturen (KRITIS) betreiben,
  • die Einführung der Kategorie „Infrastruktur von besonderem öffentlichem Interesse“, für die die KRITIS Regeln ebenfalls angewendet werden sollen. Dazu zählen die Bereiche
    • Rüstung,
    • Kultur und Medien,
    • weitere Infrastrukturen mit kritischer Bedeutung für die Geschäftstätigkeit von Unternehmen des Prime Standard an der Frankfurter Wertpapierbörse.

Die Pflichten für Betreiber von Infrastrukturen in allen betroffenen Branchen werden ausgeweitet. Es geht um Infrastrukturen, „die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“ Betreiber dieser Infrastrukturen haben besondere Pflichten für ihre IT-Sicherheit, nach § 8a des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG).

Was müssen KRITIS-Betreiber und ihre IT-Dienstleister tun?

Betreiber kritischer Infrastrukturen müssen sich beim BSI registrieren, eine Kontaktstelle benennen, und Sicherheitsvorfälle melden, vor allem müssen sie alle zwei Jahre nachweisen, dass sie angemessene organisatorische und technische Vorkehrungen getroffen haben, zur Vermeidung von bestimmten Störungen ihrer informationstechnischen Systeme (vgl. § 8a BSIG). Dies ist am besten durch ein Informationssicherheits-Managementsystem (ISMS) möglich, das rechtzeitig implementiert werden sollte. Denn das BSI ist berechtigt, diese Unternehmen zu prüfen, und kann bei Pflichtverletzungen erhebliche Bußgelder verhängen, die durch das neue Gesetz empfindlich erhöht und dem Bußgeldrahmen der DSGVO angepasst werden sollen.

Nach dem Gesetzentwurf sollen zwei weitere Pflichten von KRITIS Betreibern eingeführt werden:

  • Sie müssen Systeme der Angriffserkennung betreiben. Ein „Intrusion Detection System“ (IDS), das viele Betreiber als Bestandteil der IT-Sicherheit ohnehin haben, wird Pflicht.
  • Sie dürfen „KRITIS-Kernkomponenten“ nur von solchen Herstellern beziehen, die vorher eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber abgeben haben. KRITIS-Kernkomponenten sind IT-Produkte, die zum Betrieb von Kritischen Infrastrukturen im Sinne des BSIG dienen, und für diesen Zweck besonders entwickelt oder geändert wurden.

Durch die letztere neue Vorschrift, wie auch durch weitere geplante Regelungen gelangen die Entwickler von Software, die in kritischen Infrastrukturen genutzt wird, in den Regelungsbereich des BSIG.

Wer ist und wird KRITIS-Betreiber

Nicht alle Unternehmen, die in den KRITIS-Branchen nach § 2 Abs. 10 BSIG aktiv sind, sind Betreiber kritischer Infrastrukturen (die Branchen sind Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, zukünftig nach dem Entwurf: Entsorgung). Erforderlich ist zusätzlich, dass das Unternehmen eine Anlage oder ein System betreibt, das der Art nach als kritische Infrastruktur gilt, und, dass diese Anlage oder das System eine erhebliche Größenordnung hat.

Anlagen und Systeme, und Schwellenwerte für ihre Leistung ergeben sich aus einer Verordnung, die aufgrund von § 10 Abs. 1 BSIG erlassen wird, der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV). Sie wird nach Verabschiedung des „IT-Sicherheitsgesetzes 2.0“ neu gefasst. Erst aus dieser Änderung der BSI-KritisV wird sich ergeben, wer als Betreiber einer kritischen Infrastruktur im Bereich der Entsorgung eingestuft wird. Für „Infrastrukturen von besonderem öffentlichem Interesse“ soll eine neue Rechtsverordnung erlassen werden, die diese Infrastrukturen definiert.

Damit ein Unternehmen rechtzeitig Vorsorge treffen kann, empfiehlt es sich, schon einmal die Regelungstechnik der BSI-KritisV anzusehen. Die „Anlagen und Systeme“ sind in der BSI-KritisV jeweils ziemlich breit definiert. Man kann davon ausgehen, dass z.B. alle kommunalen Entsorger (nach Änderung der BSI-KritisV) der Art nach Anlagen oder Systeme haben werden, die unter die BSI-KritisV fallen. Wichtig ist aber der Schwellenwert. Der „Regelschwellenwert“ der BSI-KritisV liegt derzeit bei 500.000 versorgten Personen. Sollte dieser Regelschwellenwert künftig auch für Entsorger herangezogen werden, die z.B. eine Müllverbrennungsanlage für Abfälle von 500.000 oder mehr Personen (nicht Haushalte!) betreiben, wäre ihre Anlage als kritische Infrastruktur anzusehen (allerdings erst nach einer entsprechenden Anpassung von BSIG und BSI-KritisV). Für einige Branchen sind die Schwellenwerte der BSI-KritisV auch niedriger. Insofern wird Klarheit erst nach Anpassung der BSI-KritisV bestehen.

Welche Zeiträume und Fristen sind zu beachten?

Die Pflicht, angemessene organisatorische und technische Vorkehrungen zum Schutz der IT-Systeme zu treffen, beginnt nach § 8a Abs. 1 BSIG zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1, (in der geregelt ist, ob ein Unternehmen zu den Betreibern kritischer Infrastrukturen gehört). Unternehmen der Entsorgungswirtschaft, die heute Anlagen der entsprechenden Größenordnung betreiben, können somit von einer Frist von mindestens drei Jahren ausgehen. Denn zunächst muss das IT-Sicherheitsgesetz 2.0 noch verabschiedet, und dann die BSI-KritisV daran angepasst werden. Durch die Anpassung fängt die zwei-Jahres-Frist an, zu laufen. Diese Zeit ist aber auch erforderlich. Denn das Aufsetzen eines ISMS kostet Zeit. Bis ein solches System wirksam wird, können zwei Jahre vergehen. Betreiber kritischer Infrastrukturen, die neu unter das BSIG fallen werden, sollten also schon jetzt über die Einführung eines ISMS nachdenken.

| | | , , ,