BSI-Kritis-Verordnung

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist am 25. Juli 2015 als Artikelgesetz in Kraft getreten. Als Kernbestandteil sehen die neu eingefügten §§ 8a und 8b des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetzes - BSIG) vor, dass informationstechnische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen abzusichern sind und dass erhebliche IT-Vorfälle, wie Cyber-Angriffe, an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind. Spiegelbildlich zu den besonderen Pflichten ergeben sich aus den §§ 3 Absatz 3 und 8b Absatz 2 Nummer 4 des BSI-Gesetzes (BSIG) für Betreiber Kritischer Infrastrukturen besondere Rechte. Diese beinhalten insbesondere die privilegierte Beratung und Information durch das BSI.

Die Verordnung entspricht dem Leitgedanken der Bundesregierung zur nachhaltigen Entwicklung im Sinne der nationalen Nachhaltigkeitsstrategie. Die enthaltenen Regelungen konkretisieren den Adressatenkreis des IT-Sicherheitsgesetzes, welches mit der Anhebung der IT-Sicherheitsstandards in Kritischen Infrastrukturen unter ökonomischen Gesichtspunkten ausgewogen ist und etwaige Belastungen für die Wirtschaft auf ein unbedingt erforderliches Minimum reduziert.

Nach § 2 Absatz 10 Nummer 1 in Verbindung mit § 10 Absatz 1 Satz 1 BSIG wird bestimmt, welche Anlagen in den Sektoren:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen

als Kritische Infrastrukturen gelten.

Mit der am 3. Mai 2016 in Kraft getretenen BSI-Kritis-Verordnung (BSI-KritisV) wurden bereits die Festlegungen zur Bestimmung Kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung und Informationstechnik und Telekommunikation (IKT) getroffen. Durch die erste Änderung der VO wurden die noch ausstehenden Festlegungen für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr getroffen. Maßgeblich sind sogenannte Schwellenwerte der Leistungsfähigkeit des jeweiligen Sektors, welche die Bedeutung der Daseinsvorsorge für die Bevölkerung darstellen und wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens für kritische Dienstleistungen im Sinne des § 10 Absatz 1 Satz 1 BSIG, eingestuft wurden. Nach der BSI-KritisV haben alle bundesdeutschen Unternehmen und Dienstleister aus den genannten Sektoren eigenständig zu prüfen, ob sie unter die VO fallen und alle relevanten IT-Angriffe oder -störungen melden müssen.


Historie/Einzelheiten

Ein erster Entwurf einer solchen BSI-Kritis-Verordnung (Referentenentwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV)) für die Sektoren Energie, Ernährung, und Wasser sowie teilweise Informationstechnik/Telekommunikation wurde Anfang 2016 vorgelegt[1]. Als Bemessungsgrundlage wurde auf die sogenannte 500.000-er-Regel zurückgegriffen: Sind jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig, fällt die dazugehörige Anlage unter die Meldepflicht. Das, was diese Menschen verbrauchen, wird dabei in einen entsprechenden Schwellenwert umgerechnet (z.B. 500.000 Verbraucher verbrauchen ca. 420 MW Strom pro Jahr; 500.000 Kunden verbrauchen 355 Mio. Liter Kraftstoff pro Jahr; 500.000 Kunden verbrauchen jährlich 21,9 Millionen m³ Trinkwasser, 334.000 Tonnen Nahrungsmittel und 274,5 Mio. Liter Getränke ...). Insgesamt rechnete man damals mit 700 betroffenen Anlagen.

Eine Ausnahme bildete der Sektor Informationstechnik/Telekommunikation. Da hier die 500.000-Regel nur unvollständig (d.h. nur bei den Trust Centern mit dann umgerechnet über 10.000 verwalteten Zertifikaten) angewendet werden kann, sind alle Rechenzentren mit einer Jahresdurchschnittsleistung von 5 Megawatt, Server-Farmen ab durchschnittlich 25.000 laufenden Instanzen oder 250.000 verwaltete Domains sowie Content-Lieferer betroffen, die mehr als 75.000 Terabytes im Jahr ausliefern. Damit sollten ganze 30 Rechenzentren, Server-Farmen und Trustcenter meldepflichtig werden. Bei der Telekommunikation verweist die Rechtsverordnung im Wesentlichen auf das Telekommunikationsgesetz (TKG), in dem als Ausprägung der EU-Zugangsrichtlinie die Meldepflichten für diesen Teilsektor bereits geregelt sind[2]. Auch für die Betreiber von Kernkraftwerken ergibt sich die Meldepflicht ebenfalls bereits direkt aus dem Atom-Gesetz.

Im Energiesektor wurde noch eine Besonderheit eingearbeitet, hier übernimmt die Bundesnetzagentur (BNetzA) anstatt des BSI die Kontroll- und Überwachungsfunktion. Auch der Branchen-Mindestsicherheitsstandard wurde quasi damit schon festgelegt mit dem IT-Sicherheitskatalog der Bundesnetzagentur[3]. Für Unternehmen der Strom-, Gas- und Wasserwirtschaft gibt es bereits als Empfehlung darüber hinaus die S/G/W/FW 1002 „Organisation und Management im Krisenfall“.

Der Entwurf zu den ersten vier Branchen wurde dann an die Bundesländer und Branchenverbände zur Stellungnahme weitergeleitet, eine Expertenanhörung folgte. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) signalisierte grundsätzliche Zustimmung, sah aber auch Nachbesserungsbedarf[4]. Am 13. April 2016 beschloss das Bundeskabinett diese erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes, die am 03.Mai 2016 in Kraft trat.

Danach wurde ein Entwurf der ergänzenden Rechtsverordnung erarbeitet, der die noch fehlenden Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr umfasste (Referentenentwurf zur Ersten Verordnung zur Änderung der BSI-Kritisverordnung). Hier wurde sich bei der Meldepflicht im Wesentlichen bei Krankenhäuser auf einen Wert von mindestens 30.000 vollstationären Fällen, bei Medikamentenherstellern an Produktumsätzen (z.B. 4,65 Millionen abgegebene Verpackungen/Jahr), im Finanzbereich an Transaktionen (z.B. 21 Millionen Kartentransaktionen/Jahr bzw. 100 Millionen Überweisungen/Lastschriften), im Versicherungsbereich an Leistungsfälle (2 Millionen Leistungsfälle/Jahr) und bei Transport/Verkehr an Passagierzahlen (z.B. 1,35 Millionen Fluggäste/Jahr, im ÖPNV 58,5 Millionen Fahrgäste/Jahr) und Frachtmengen[5] sowie Art der Verbindungswege (z.B. Autobahn) orientiert. Die Bundesregierung stimmte Ende Mai der vom Bundesminister des Innern vorgelegten entsprechenden Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen zu; damit kann diese Verordnung noch im Juni 2017 in Kraft treten[6].


Einzelnachweis

  1. "IT-Sicherheitsgesetz: Wer was wann zu melden hat" in heise.de/Security vom 08.Februar.2016
  2. "ENISA zieht Bilanz zu bisherigem Cybersecurity-Reporting" in heise.de/Security vom 26.März.2016
  3. "IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz" in Webseite der Bundesnetzagentur vom 12.08.2015
  4. SecuPedia Aktuell: "KRITIS-Verordnung": TeleTrusT begrüßt Entwurf und sieht Nachbesserungsbedarf
  5. SecuPedia Aktuell: Ausgewogenere Definition kritischer Infrastrukturen
  6. SecuPedia Aktuell: Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen


Siehe auch



Diese Seite wurde zuletzt am 29. August 2017 um 12:10 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Ralf Schulze und Klaus Kapinos.

Anzeigen