IT-Sicherheitsgesetz – Ausstehende Verordnung zur Änderung der BSI-Kritisverordnung in Kraft getreten
Am 30.06.2017 ist die bereits erwartete Erste Verordnung zur Änderung der BSI-Kritisverordnung in Kraft getreten. Nunmehr können auch Betreiber Kritischer Infrastrukturen aus den Sektoren „Finanz- und Versicherungswesen“, „Transport und Verkehr“ sowie „Gesundheit“ prüfen, ob sie unter die Regelungen des IT-Sicherheitsgesetzes fallen.
Zu den Hintergründen:
Grundlage für die BSI Kritisverordnung ist das am 25. Juli 2015 in Kraft getretene (Artikel-)Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Mit dem IT-Sicherheitsgesetz ist auf die immer weiter fortschreitende informationstechnische Vernetzung der Welt und den damit verbundenen Sicherheitsgefahren reagiert worden. Angriffe mit Ransomware wie WannaCry oder Petya, die zu erheblichen Schäden geführt haben, sollen künftig vermieden werden (siehe dazu die Veranstaltung vom Arbeitskreis EDV & Recht in Köln am 20.9.2017 mit unserem Partner Sascha Kremer als Referenten).
Das Gesetz dient dem Schutz von IT-Systemen und digitalen Infrastrukturen vor einem Ausfall durch in interne Netze eingebrachte Schadprogramme oder andere Cyberangriffe und der Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung. Zugleich soll ein besserer Schutz der Bürgerinnen und Bürger im Internet erreicht werden. Zur Steigerung der Sicherheit werden Betreiber kommerzieller Webangebote daher verpflichtet, höhere Sicherheitsanforderungen an ihre IT Systeme zu erfüllen. Gleiches gilt für Telekommunikationsunternehmen, die ihre Kunden warnen müssen, wenn sie einen Missbrauch eines Kundenanschlusses feststellen. Zusätzlich sollen sie Betroffenen, wenn möglich, Lösungsmöglichkeiten aufzeigen.
Die Sektoren „Finanz- und Versicherungswesen“, „Gesundheit“ und „Transport und Verkehr“, „Energie“, „Informationstechnik und Telekommunikation“, „Wasser“ und „Ernährung“ werden als besonders sensibel und im hohen Maße regelungsbedürftig eingestuft. Denn durch Fremdeingriffe provozierte Systemausfälle können verheerende Auswirkungen auf Staat, Wirtschaft und Bürger zur Folge haben. Sie werden daher als kritische Infrastrukturen (KRITIS) verstanden. Solche Informationstechnische Systeme müssen durch angemessene organisatorische und technische Vorkehrungen abgesichert werden. Ziel ist, Deutschlands Infrastrukturen zu den sichersten weltweit zu machen. Erhebliche Sicherheitsvorfälle sind an das Bundesamt für Sicherheit und Informationstechnik zu melden (BSI). Die zuständige Aufsichtsbehörde ist die Bundesnetzagentur.
Nach Verabschiedung des IT-Sicherheitsgesetzes blieb zunächst die Frage offen, welche Unternehmen konkret zu den Betreibern einer Kritischen Infrastruktur im Sinne des IT-Sicherheitsgesetzes gehören. Diese Frage wurde – teilweise – mit dem ersten Teil der BSI-Kritisverordnung (auf Grundlage von § 10 BSI-Gesetz) geklärt, die zur Umsetzung des IT-Sicherheitsgesetzes am 3. Mai 2016 in Kraft getreten ist. Hier wird festgelegt, wie kritische Infrastrukturen in den Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation zu bestimmen sind. Festlegungen zur Bestimmung der Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr standen indes zunächst noch aus (§ 2 Absatz 10 Nummer 1 BSI-Gesetz).
Inhalt der Änderungsverordnung – wer ist betroffen?
Regelungen hierzu enthält nunmehr die erste Verordnung zur Änderung der BSI – Kritisverordnung. Sie enthält zudem erforderliche Ergänzungen und Klarstellungen zu den bereits getroffenen Festlegungen zur Bestimmung Kritischer Infrastrukturen für die Sektoren Energie, Wasser, Ernährung und IKT. Der Systematik der BSI-Kritisverordnung folgend bestimmt die Änderungsverordnung zunächst, welche Dienstleistungen wegen ihrer Bedeutung als kritisch anzusehen sind und identifiziert die Anlagen, die für die Erbringung der kritischen Dienstleistungen erforderlich sind. Ausgehend von den identifizierten Anlagenkategorien werden sodann konkrete Anlagen bestimmt, die einen bedeutenden Versorgungsgrad aufweisen.
- Im Gesundheitssektor ist dies der gesamte Bereich der stationären Versorgung sowie die vor- und nachgelagerten unterstützenden Branchen wie Medizintechnik, Arzneimittelversorgung sowie Labordienstleistungen.
- Im Bereich des Finanz- und Versicherungssektors ist die unterbrechungsfreie Funktionsfähigkeit des unbaren Zahlungsverkehrs für die Allgemeinheit zwingend erforderlich. Daher gelten die Bargeldversorgung, der kartengestützte Zahlungsverkehr, der konventionelle Zahlungsverkehr, die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften sowie Versicherungsdienstleistungen als kritische Dienstleistungen im Sektor Finanz- und Versicherungswesen.
- Die Mobilität von Personen und der reibungsfreie Transport von Gütern über nahe und weite Distanzen sind die beiden Kernleistungen des Sektors Transport und Verkehr (TuV) und sind die kritischen Leistungen dieses Sektors.
Um zu bestimmen, ob der jeweilige Betreiber einer kritischen Infrastruktur unter den Regelungsbereich des IT-Sicherheitsgesetzes fällt, enthält die Verordnung messbare und nachvollziehbare Kriterien. Insbesondere anhand von Schwellenwerten können die Betreiber kritischer Anlagen bestimmen, ob ihre Anlagen oder Teile dessen als kritisch einzustufen sind. So kann jedes Unternehmen prüfen, ob es unter den Regelungsbereich des IT-Sicherheitsgesetz fällt.
Wie werden die Schwellenwerte ermittelt?
Teil 2 der BSI- Änderungsverordnung enthält Berechnungsformeln zur Ermittlung der Schwellenwerte. Sie geht dabei von der Prämisse aus, dass ab einem Versorgungsgrund von 500.000 versorgten Personen ein Ausfall technischer Systeme zu einer Versorgungskrise führen kann.
Die auf Grundlage der Durchschnittswerte ermittelten Schwellenwerte für die einzelnen Sektoren sind in Teil 3 gelistet und können dort abgelesen werden. Mit Erreichen der Schwellenwerte ist der kritische Versorgungsgrad, der zur Anwendungspflicht des Gesetzes führt, erreicht.
Zum Beispiel: Nach Teil 2 der BSI-Änderungsverordnung gilt, dass der für die Anlagenkategorien desTeils 3 Nummer 2.1.1 und 2.2.1 genannte Schwellenwert unter Annahme von durchschnittlichen Ausgaben für Medizinprodukte, die Verbrauchsgüter sind, von 181,36 Euro pro versorgter Person pro Jahr und eines Regelschwellenwertes von 500.000 versorgten Personen wie folgt berechnet wird: 90.680.000 Euro Umsatz/Jahr = 181,36 Euro Umsatz/Jahr x 500.000 Aus Teil 3 der Verordnung lässt sich der ermittelte Wert von 90.680.000 € unter 2.1.1 einfach entnehmen.
Pflichten der Betroffenen
Die von der Verordnung betroffenen Betreiber sind mit Inkrafttreten verpflichtet:
- dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen
- IT-Störungen zu melden
- dem BSI alle zwei Jahre die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen
Diese Pflichten gelten für die KRITIS-Betreiber der Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser bereits seit Mai 2016. Die Sektoren Finanzen, Transport und Verkehr und Gesundheit sind erst seit In-Kraft-Treten der Änderungsverordnung am 30.6.2017 betroffen. Abweichend hiervon besteht die Pflicht zur Einhaltung von IT-Sicherheitsstandards erst zwei Jahre nach Inkrafttreten der Verordnung. Wird der Pflicht nicht nachgekommen, drohen Bußgelder.
Anmerkung – Zeitgleiche Verkündung der NIS-Richtlinie
Die Stärkung der Cyber-Sicherheit ist globales Thema:
Zeitgleich zur Änderung der BSI-Kritisverordnung wurde am 29.06.2017 auch das Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) verkündet, das der Schaffung und des Ausbaus des Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union dient. Die Statuierung eines einheitlichen Rechtsrahmens soll die stärkere Zusammenarbeit der Mitgliedsstaaten fördern, zudem schreibt das Gesetz die Umsetzung von Mindestsicherheitsanforderungen und Meldepflichten für Betreiber kritischer Infrastrukturen bis Mai 2018 durch die Umsetzung in innerstaatliches Recht vor. Mit der Verkündung der Änderung der BSI-Kritisverordnung auf Grundlage des IT-Sicherheitsgesetzes hat der deutsche Gesetzgeber einen Großteil seiner Umsetzungspflichten allerdings bereits jetzt erledigt.
Nunmehr stehen zur Umsetzung der NIS-Richtlinie noch bis zum 10.05.2018 die Erweiterung von Aufsichts- und Durchsetzungsbefugnisse des BSI gegenüber KRITIS-Betreibern aus sowie die Schaffung von Regelungen für Anbieter Digitaler Dienste.
Bei Fragen rund um das IT-Sicherheitsgesetz sowie der BSI-Kritisverordnung und ihren Auswirkungen sprechen Sie uns gerne an – unser Team!