IT-Sicherheitsgesetz: Rechtsverordnung regelt Anwendbarkeit für Betreiber kritischer Infrastrukturen

Für das am 25.Juli 2015 in Kraft getretene IT-Sicherheitsgesetz wurde jetzt eine Rechtsverordnung vom zuständigen Staatssekretär des Bundesinnenministeriums in Berlin vorgestellt. Die Rechtsverordnung konkretisiert die Anwendbarkeit des IT-Sicherheitsgesetzes für Betreiber von kritischen Infrastrukturen(1). Die Rechtsverordnung bezieht sich zunächst auf vier Sektoren. Für die sogenannten Sektoren „Energie“, „Wasser“, „Ernährung“ und „Informationstechnik/ Telekommunikation“ wurden die Rahmenbedingungen abgesteckt und der Kreis der meldepflichtigen Betreiber definiert. Die zentralen Versorgungssysteme wurden bei der Definition der „Kritischen Infrastrukturen“ in 29 Branchen und neun Sektoren unterteilt.

Die Rechtsverordnung befindet sich derzeit in der Abstimmung und wurde den Bundesländern und den Branchenverbänden vorgelegt. Anschließend ist eine Expertenanhörung geplant.
Mit der Verabschiedung branchenspezifischer IT-Sicherheitsverordnungen wird das Ziel verfolgt, das IT-Sicherheitsgesetz in Auslegung und Anwendbarkeit zu konkretisieren.
Das IT-Sicherheitsgesetz verfolgt das Ziel, die Versorgung mit Dienstleistungen kritischer Infrastrukturen in Deutschland sicherzustellen.

Der Gesetzgeber sieht eine Übergangsfrist für die Umsetzung der branchenspezifischen IT-Sicherheitsverordnungen nach Inkrafttreten vor. So wurde bspw. eine sechs monatige Frist für die Realisierung der Meldepflicht an das BSI bei Sicherheitsvorfällen festgelegt. Für die Umsetzung der erforderlichen Sicherheitsmaßnahmen nach dem aktuellen Stand der Technik ist eine Zwei-Jahres-Frist vorgesehen.

Meldepflicht für Betreiber sicherheitskritischer Anlagen
Zur Festlegung des vom Gesetz betroffenen Betreiberkreises wurde vom BSI in Zusammenarbeit mit dem Bundesamt für Bevölkerungsschutz(2) und den Leitern der Branchenarbeitskreise der UP Kritis(3) eine Messtabelle erstellt. Diese basiert auf einer „Schwellenwertmethode“. Zugrunde liegt die Regelung, dass wenn jeweils mindestens 500.000 Bürger von einer Versorgungsleistung abhängig sind, die entsprechende Anlage unter die Meldepflicht fällt. Der Verbrauch wird dabei in einen Schwellenwert umgerechnet.

Energie:
Zum Sektor Energie gehören die Branchen Elektrizität, Gas und Minaralöl. Bei der Stromerzeugung bzw. -speicherung liegt der Schwellenwert bei 450 MW pro Jahr, bei der Gasversorgung bei 5.190 GWh/Jahr, bei einer Raffinerie bei 620.000 Tonnen Heizöl pro Jahr und beim Tankstellennetz bei 335.000 Abgabestellen.
Mit 320 Anlagen oder Betrieben stellt der Energiesektor den weitaus größten Anteil an Betreibern mit meldepflichtiger IT-Sicherheit.

Wasser:
Zum Sektor Wasser gehören die Branchen öffentliche Wasserversorgung und öffentliche Abwasserbeseitigung. In diesem Sektor gehören 230 Anlagen zu den Betreibern kritischer Infrastrukturen.
Trinkwasserversorger und Abwasserentsorger, die 21,9 Millionen m³ pro Jahr bereitstellen, aufarbeiten oder weiterleiten oder die 500.000 Bürger versorgen, fallen unter die Regelung und müssen IT-Probleme an das BSI melden.

Ernährung:
Zum Sektor Ernährung gehören die Branchen Ernährungswirtschaft und Lebensmittelhandel. Hier wurden 70 sicherheitskritische Anlagen erfasst. Anlagen, die 334.000 Tonnen Speisen im Jahr erzeugen, lagern oder verteilen, fallen unter die Meldepflicht. Im Bereich der Getränkeindustrie liegt der Schwellenwert bei 274,5 Millionen Getränke.

Informationstechnik und Telekommunikation:
In der Branche Informationstechnik sind 30 Rechenzentren, Server-Farmen und Trustcenter meldepflichtig. Bei den Telekommunikationsanbietern, die Kommunikations- und Datennetze sicherstellen, werden die Meldepflichten bereits im Telekommunikationsgesetz (TKG) geregelt.
Unter Einbeziehung der Bundesnetzagentur wird derzeit geprüft, wie viele TK-Anlagen unter die Meldepflicht fallen.

Weitere Sektoren:
Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur (siehe 4).

Quellen:

Heise: IT-Sicherheitsgesetz: Wer was wann zu melden hat

Externe Links:

(1) Kritische Infrastrukturen: Definition

(2) Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Mehr.

(3) Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. Mehr.

(4) BKK: Sektoren- und Brancheneinteilung Kritischer Infrastrukturen