Mit Spannung wurde die im Rahmen des IT-Sicherheitsgesetzes (IT-SiG) bzw. der in § 10 Absatz 1 des BSI-Gesetzes angekündigte Rechtsverordnung erwartet. In dieser sollen die Kriterien festgelegt werden, anhand derer die Betreiber der kritischen Infrastrukturen (KRITIS) aus dem ersten “Korb” – d.h. aus den Sektoren Informationstechnik und Telekommunikation (IKT), Wasser, Energie und Ernährung – erkennen können, ob sie unter die Regelungen des IT-Sicherheitsgesetzes fallen oder nicht.

Am 05.02.2016 meldete das Bundesministerium des Inneren (BMI), dass nun ein Referentenentwurf der Verordnung zur Verfügung steht. Dieser Referentenentwurf, der noch im Kreise der Länder und Verbände diskutiert wird, ist noch nicht die finale Fassung; gleichwohl lässt sich sicherlich eine Tendenz erkennen, aus der die Betreiber der KRITIS-Unternehmen nun zumindest in etwa abschätzen können, ob sie unter die Regelungen des IT-SiG fallen.

Interessant sind dabei vor allem die in den Anhängen eins bis vier angegebenen Tabellen, in denen für die Sektoren Energie, Wasser, Ernährung und Informationstechnik und Telekommunikation die jeweiligen Schwellenwerte hinterlegt sind. Für Stromerzeuger bspw. gilt laut Referentenentwurf derzeit ein Schwellenwert von 420 MW, bei der Stromübertragung oder -verteilung von 3.700 GWh/Jahr. Im Sektor Wasser ist das Bemessungskriterium die Anzahl der angeschlossenen Anwohner beim Abwasser bzw. die gewonnenen Wassermengen in der Frischwasserversorgung; hier gelten z.B. Schwellenwerte von 500.000 Anwohner bei der Abwasserbeseitigung und 21,9 Mio m3/Jahr bei der Trinkwasserversorgung. Für die Lebensmittelhändler liegt der Schwellenwert bei 334.000 Tonnen Speisen pro Jahr bzw. bei 274,5 Mio. Liter an Getränken pro Jahr, es wird aber natürlich auch der Bereich der Lebensmittelproduktion und -verarbeitung betrachtet. Eine vollständige Auflistung gibt der bereitgestellte Referentenentwurf.

Bei den derzeit vorgegebenen Schwellenwerten geht das BMI davon aus, dass etwa 650 Unternehmen die im Referentenentwurf genannten Kriterien erfüllen.

Nach der Abstimmung des Referentenentwurfes und einer anschließenden Verkündung beginnt die sechsmonatige Übergangsfrist, in der die Betreiber dem BSI eine Kontaktstelle benennen müssen. 24 Monate nach der Verkündung müssen dann auf Betreiberseite angemessene Sicherheitsmaßnahmen etabliert sein (s. §§ 8b Absatz 3 resp. 8a Absatz 1 BSI-Gesetz).

Besonders interessant ist das Inkrafttreten der Rechtsverordnung nach derzeitigem Stand für die Betreiber von Energieanlagen, für die die besonderen “KRITIS-Regelungen” innerhalb des Energiewirtschaftsgesetzes (EnWG) festgelegt sind – genauer in § 11 Absatz 1b EnWG. Fallen sie unter die KRITIS-Kriterien, gilt es für sie anschließend, das Erscheinen des dort angekündigten Sicherheitskatalogs (gemäß § 11 Absatz 1b EnWG) abzuwarten, den die zuständige Bundesnetzagentur (BNetzA) für die Zeit nach dem Inkrafttreten der Rechtsverordnung angekündigt hat. Das Erscheinungsdatum dieses Kataloges ist nach unserem Kenntnisstand derzeit noch nicht festgelegt.