Das BSI-Gesetz wurde zuletzt im Juli letzten Jahres durch das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ in größerem Umfang ergänzt. Jetzt klärt die erste von zwei Kritis-Verordnungen die kritischen Infrastrukturen.

AUFGABEN UND BEFUGNISSE DES IT-SICHERHEITSGESETZES

Das IT-Sicherheitsgesetz wurde letztes Jahr eingeführt um Defiziten im Bereich der IT-Sicherheit wirksam zu begegnen. Diese sind laut Seite des BSI vor allem:

• Nach § 8a BSIG, müssen Betreiber Kritischer Infrastrukturen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
• Das BSI wird nach § 8b BSIG die zentrale Meldestelle für die IT-Sicherheit Kritischer Infrastrukturen. Diese müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Umgekehrt hat das BSI sämtliche für Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zuständigen (Aufsichts-)Behörden weiterzuleiten.
• Sofern bei einem Betreiber Kritischer Infrastrukturen meldepflichtige Störungen der IT auftreten, darf das BSI erforderlichenfalls auch die Hersteller der entsprechenden IT-Produkte und -systeme gemäß § 8b BSIG zur Mitwirkung verpflichten.
• Dem BSI wird die Befugnis eingeräumt, zur Wahrnehmung seiner Aufgaben nach § 3 Abs. 1 S. 2 Nr. 1, 14 und 17 BSIG, IT-Produkte auf ihre Sicherheit hin zu untersuchen.
• Die Befugnis des BSI aus § 5 BSIG zur Analyse von Schnittstellen- und Protokolldaten in den Netzen der Bundesverwaltung wird dahingehend erweitert, dass die Bundesbehörden das BSI nunmehr bei dieser Tätigkeit unterstützen müssen.
• Zur Stärkung der IT-Sicherheit der Bundesverwaltung wird das BSI verpflichtet, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten. Die Möglichkeit des BMI, diese Mindeststandards für alle Behörden als verbindlich zu erklären, wird erleichtert, da nur noch das Benehmen (statt des Einvernehmens) mit dem IT-Rat hergestellt werden muss.

WOZU DIE VERORDNUNG?

Bislang oblag die Bewertung, ob Infrastrukturen für die Versorgung der Allgemeinheit mit wichtigen Dienstleistungen als kritisch anzusehen sind, der Einschätzung des jeweiligen Betreibers.  Dies soll sich nun ändern. Wie es in der Verordnung heißt: „Mit der vorliegenden Verordnung wird die Vorgabe in § 10 Absatz 1 Satz 1 des BSI-Gesetzes umgesetzt, wonach die Bewertung einer Infrastruktur als kritisch nach einer vorgegebenen Methodik zu erfolgen hat. (…) In einem ersten Schritt wird für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung bestimmt, welche Dienstleistungen wegen ihrer Bedeutung als kritisch anzusehen sind. (…) In einem zweiten Schritt werden diejenigen Kategorien von Anlagen identifiziert, die für die Erbringung der kritischen Dienstleistungen erforderlich sind. (…)In einem dritten Schritt lassen sich ausgehend von den identifizierten Anlagenkategorien konkrete Anlagen oder Teile davon bestimmen, die einen aus gesamtgesellschaftlicher Sicht bedeutenden Versorgungsgrad aufweisen.“

ENERGIE, WASSER, ERNÄHRUNG, INFORMATIONSTECHNIK UND TELEKOMMUNIKATION

Die erste Verordnung behandelt nun also die Bereiche Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation. In den §§ 2-5 werden die genauen Kriterien für diese Sektoren vorgegeben, nach denen zu bewerten ist ob es sich um eine kritische Dienstleistung handelt. Laut Bundesinnenministerium sind bundesweit 730 Anlagen in diesen vier Sektoren betroffen. Sobald die Verordnung demnächst im Bundesgesetzblatt verkündet wird, beginnt für die betroffenen Dienstleister der Count-Down: Sechs Monate später muss eine Kontaktstelle zum BSI eingerichtet sein und weitere eineinhalb Jahre später müssen die vom Gesetz geforderten Informationssicherheitsmanagementsysteme zum Schutz der jeweiligen kritischen Infrastruktur vollständig installiert sein. Die noch ausstehende zweite Verordnung wird die fehlenden Sektoren Transport und Verkehr,
Gesundheit und Finanz- und Versicherungswesen aufgreifen.