BSIG, SIG, BSI-KritisV und KRITIS sind Begriffe, die rund um Kritische Infrastrukturen schweben. Vielen Betroffenen scheint jedoch noch nicht klar zu sein, dass sie Betreiber einer Kritischen Infrastruktur sein können und dass sie entsprechende gesetzliche Anforderungen erfüllen müssen. Zur Klarstellung soll dieser Beitrag erläutern was darunter fällt, wer betroffen ist und was dies bedeutet, zumal im Mai 2018 eine wichtige Übergangsfrist abläuft. Bis dahin haben Betreiber nach § 8a BSIG einen Nachweis darüber zu erbringen, dass angemessene Sicherheitsvorkehrungen getroffen worden sind.
Der Inhalt im Überblick
Wer ist Betreiber einer Kritischen Infrastruktur?
KRITIS steht für kritische Infrastrukturen und umfasst solche Versorgungsdienstleister, bei deren Beeinträchtigung mit besonders schwerwiegenden Folgen für Wirtschaft, Staat und Gesellschaft zu rechnen ist. Wer genau darunter fällt, wird in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) geregelt.
Nach der Verordnung ist eine Kritische Dienstleistung nach § 1 Nr. 3 BSI-KritisV
„eine Dienstleistung zur Versorgung der Allgemeinheit […], deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde.“
Hintergrund der Auswahl dieser Dienstleister sind die besonders schwerwiegenden Folgen für Wirtschaft, Staat und Gesellschaft, sollte es tatsächlich zu einer Beeinträchtigung kommen. Ob man als Betreiber einer kritischen Infrastruktur anzusehen ist, richtet sich auch nach einem Schwellenwert, der für jeden Sektor anhand einer Berechnungsformel errechnet wird. Der Regelschwellenwert beträgt 500.000 versorgte Personen.
Der Gesetzgeber ging in der Gesetzesbegründung von ca. 2.000 betroffenen Einrichtungen aus – ob sich dies bewahrheitet hat und wie es tatsächlich aussieht, lesen Sie hier.
Welche Sektoren sind betroffen?
Welche Sektoren konkret als kritische Infrastrukturen anzusehen sind, regelt unter anderem die BSI-Kritisverordnung. Folgende Sektoren sind betroffen:
- Energie
- Wasser
- Ernährung
- Informationstechnik und Telekommunikation
- Gesundheit
- Finanz- und Versicherungswesen
- Transport und Verkehr
- Staat und Verwaltung
- Medien und Kultur
Konkrete Beispiele, wer betroffen ist
Ganz konkret ist der Kreis der Betroffenen viel weiter als gedacht. Viele Betreiber kritischer Infrastrukturen laufen somit Gefahr nicht zu erkennen, dass sie die gesetzlichen Anforderungen des BSIG erfüllen müssen. Zur Veranschaulichung der abstrakten Begriffe sind folgende Beispiele zu nennen:
- Aus dem Sektor Energie, Bereich Verteilung von Fernwärme fällt die Versorgung von 25.000 angeschlossenen Haushalten bereits unter die Verordnung. Dies gilt im Sektor Energie ebenso für ein Tankstellennetz, das 420.000 Millionen Liter Kraftstoff pro Jahr verteilt.
- Im Sektor Ernährung, Bereich Lebensmittelhandel nennt die Verordnung beim Inverkehrbringen von Lebensmittel die Grenze von 434.500 t Speisen pro Jahr, bzw. 350 Millionen Liter nicht-alkoholischer Getränke.
- Falls das noch nicht genug Zahlen sind, hier noch ein Beispiel aus dem Sektor Gesundheit, Bereich Apotheken: Ab 4.650.000 abgegebenen Packungen pro Jahr fallen auch Apotheken unter die Kritisverordnung.
Pflichten der Betreiber kritischer Infrastrukturen
Betreiber kritischer Infrastrukturen haben folgende Pflichten zu erfüllen – eine Kontaktstelle zu benennen, IT-Sicherheitsvorfälle zu melden, den Stand der Technik umzusetzen und dies alle zwei Jahre nachzuweisen.
Zentrale Norm für die Betreiber kritischer Infrastrukturen ist § 8a BSIG. Sie haben demnach eine Pflicht angemessene organisatorische und technische Vorkehrungen zur Sicherheit ihrer IT zu treffen und diese laufend zu aktualisieren. Die Betreiber kritischer Infrastrukturen sind verpflichtetet ihre IT laufend auf dem Stand der Technik zu halten. Sie haben dafür seit Inkrafttreten der Verordnung 2 Jahre Zeit (§ 8a der Verordnung). Stand der Technik bedeutet dabei, dass die technischen Entwicklungen und Anforderungen zu berücksichtigen sind, die zum Zeitpunkt der Überprüfung für die jeweilige Branche angemessen sind. Der Nachweis, dass die Anforderungen an den Stand der Technik erfüllt sind, kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen (§ 8a Abs. 3 der Verordnung). Der Nachweis ist alle zwei Jahre zu erbringen, um sicherzustellen, dass der Stand der Technik tatsächlich berücksichtigt und umgesetzt wird.
Ferner besteht die Pflicht, nach § 8b Abs. 3 BSIG eine Kontaktstelle zu benennen.
Die Meldepflicht von erheblichen IT-Sicherheitsvorfällen nach § 8b Abs. 4 BSIG betrifft die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen sowie die übrigen Betreiber kritischer Infrastrukturen. Demnach haben die Betreiber IT-Sicherheitsvorfälle dem BSI zu melden, der die daraus gewonnen Erkenntnisse bündelt und den anderen Betreibern zur Verfügung stellt, damit diese ihre IT angemessen schützen können.
Darüber hinaus dürfen Betreiber nicht übersehen, dass sie u.U. branchenspezifische Sicherheitsstandards (sog. B3S) zu beachten haben. Eine Übersicht der B3S finden Sie hier. Für den Sektor Informations- und Kommunikationstechnik ist der B3S beispielsweise noch in Arbeit. Für den Sektor Wasser, Branche Wasserversorgung und Abwasserbeseitigung besteht ein B3S. Eine vergleichbare Regelung besteht für die Energienetzbetreiber, für die die Bundesnetzagentur (BNetzA) Kataloge mit den bereichsspezifischen Sicherheitsanforderungen erarbeitet hat. Eine Besonderheit ist hier, dass der § 8a BSIG aufgrund der speziellen Regelungen durch die BNetzA nicht anwendbar ist.
Frist bis Mai 2018
Die Frist für den Nachweis der Implementierung geeigneter technischer und organisatorischer Maßnahmen entsprechend dem Stand der Technik nach § 8a BSIG läuft bereits Mai 2018 aus. Da der Nachweis durch Zertifizierungen möglich ist, sollten betroffene Unternehmen sich alsbald an entsprechende Stellen wenden. Zu häufigen Fragen zu § 8a BSIG hat das BSI hier Antworten gebündelt.
