IT-Sicherheitsgesetz: Entwurf zur Be­stim­mung Kri­ti­scher Infrastrukturen veröffentlicht

Durch das IT-Sicherheitsgesetz wurde die Grundlage geschaffen, das insbesondere für so genannte kritische Infrastrukturen Meldepflichten vorsieht (dazu speziell §8a BSI-Gesetz). Allerdings fehlt bisher die entsprechend §10 BSI-Gesetz noch zu erlassende Rechtsverordnung die die entsprechenden Vorgaben macht.

Nunmehr wurde der Referentenentwurf des Bundesministeriums des Innern veröffentlicht. Dieser „Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritisverordnung – BSI-KritisV) setzt sich mit den Umständen auseinander, die kritische Infrastrukturen definieren.

Hinweis: Beachten Sie zur IT-Sicherheit unsere Übersichtsseite mit weiteren Informationen!


Die Verordnung als solche ist relativ einfach aufgebaut (jedenfalls was das System angeht): Man geht davon aus, dass eine Versorgung von mehr als 500.000 Bürgern die „kritische Schwelle“ ist. Auf Grund von Formeln wird dies dann für den jeweils betreffenden Sektor umgerechnet in seinen eigenen Leistungsfaktor. Wenn dann der entsprechende Leistungsfaktor überschritten ist, tritt die Meldepflicht ein. Das sieht dann so aus, dass beispielsweise bei einem Wasserwerk ab einem Wasseraufkommen in Höhe von 21,9 Mio. m3/Jahr die Meldepflicht vorliegt. Mit dem IT-Sicherheitsgesetz ergeben sich dabei die Folgenden Sektoren, wobei jedem Sektor ein eigener Anhang mit den entsprechenden Werten gewidmet ist, die Verordnung definiert dann nochmal einzeln was von jedem Sektor erfasst ist:

  • Sektor Energie: Anhang 1
  • Sektor Wasser: Anhang 2
  • Sektor Ernährung. Anhang 3
  • Sektor Informationstechnik und Telekommunikation: Anhang 4

Die weiteren relevanten Sektoren wie insbesondere Gesundheit sind derzeit wohl außen vor.

Auch wenn es Lobenswert ist, nicht gleich jeden Bauernhof mit solchen Pflichten zu versehen, so ergeben sich doch einige erhebliche Bedenken: Die Wasserversorgung in Deutschland ist Dezentral ausgerichtet und gerade ländliche Bezirke könnten regelmäßig unter dem Schwellenwert liegen. Es wäre anzudenken, jegliche Kläranlage und jegliches Wasserwerk von den doch überschaubaren Pflichten automatisch erfassen zu lassen, nicht zuletzt auf Grund des erheblichen bestehenden Risikos für die öffentliche Versorgung; ebenso wären zumindest Grundversorger automatisch zu erfassen (auch wenn diese ohnehin über dem Schwellenwert liegen sollten). Spannender werden die Schwellenwerte sicherlich im Bereich Ernährung und IT.

Wichtige Fristen im Zusammenhang mit der Verordnung: Wenn die Verordnung Verkündet wurde tritt sie einen tag später in Kraft. Ab dann laufen folgende wichtigen Fristen:

  1. Die Betreiber kritischer Infrastrukturen haben innerhalb von 6 Monaten eine Kontaktstelle beim BSI zu benennen entsprechend §8b Abs.3 BSI-G
  2. Die Sicherungspflichten nach §8a Abs.1 BSI-G sind innerhalb von 2 Jahren zu erfüllen

Es drängt also nicht gerade, aber man sollte sich nun wirklich um das Thema kümmern.

Kleine Anmerkung am Rande: Ausgerechnet die KRITIS-Webseite weist hierauf am 08.02.2016 (immer) noch nicht hin. Die Kommunikationspolitik ist an dieser Stelle alles andere als überzeugend.

Dazu auch:

Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner

Fachanwalt für IT-Recht bei Anwaltskanzlei Ferner
Rechtsanwalt Jens Ferner, Fachanwalt für Informationstechnologierecht, berät Sie in sämtlichen vertraglichen, arbeitsrechtlichen, medienrechtlichen und strafrechtlichen Fragen. Erstberatung ab 35 Euro.
Rechtsanwalt Jens Ferner

Ähnliche Beiträge bei uns

Datenschutzrecht: Wenn Daten abhanden kommen ̵... Ärgerlich genug, wenn ein Unternehmen Daten "verliert" - neben einem wahrscheinlichen Wirtschaftlichen Schaden droht auch noch ein Image-Schaden. Grun...
Kein Nintendo DS im „Knast“ Immer wieder wird darüber gestritten, was Inhaftierte in einer JVA an "Ausstattung" haben dürfen. Schon fast Legendär war 2004 die Entscheidung des OL...
Videoüberwachung – Was ist erlaubt Es ist kaum mehr denkbar, dass man noch ein Geschäft betreten kann, ohne dass man irgendwo eine Videokamera sieht - dabei werden die rechtlichen Grund...
Wirtschaftsrecht & Datenleck: Wenn das Untern... Angriffe auf Unternehmen sind heute leider Alltag - ebenso wie die Gefahr, die dadurch droht, dass immer noch Unternehmer dieses Risiko unterschätzen....
Cy­ber-Si­cher­heits­s­tra­te­gie für Deutsch­land... Im November 2016 hat die Bundesregierung die vom Bundesminister des Innern vorgelegte "Cyber-Sicherheitsstrategie für Deutschland 2016" beschlossen. I...

Zugehörige Downloads

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Keine Bewertung bisher)
Loading...