IT-Recht

IT- Sicherheitsgesetz: Referentenentwurf zur Bestimmung kritischer Infrastrukturen

Anfang Februar wurde der „Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) vom BMI veröffentlicht. Die Rechtsverordnung soll Klarheit schaffen, welche Anlagen nunmehr als kritische Infrastruktur einzuordnen sind. Während es bislang den Betreibern oblag zu entscheiden, ob eine Infrastruktur als kritisch einzuordnen ist, hält die Rechtsverordnung hierfür nunmehr eine (objektive) Methodik bereit.

Innerhalb von drei systematischen Verfahrensschritten soll nun ermittelt werden, ob eine Infrastruktur als kritisch einzuordnen ist.

Erster Schritt: Bedeutung der Dienstleistung

Für die einschlägigen Sektoren (Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung) werden diejenigen Dienstleistungen bestimmt, die wegen ihrer Bedeutung als kritisch einzuordnen sind.

Für den Sektor Energie heißt es dazu unter § 2 Abs. 1 BSI-KritisV:

„Wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens sind im Sektor Energie kritische Dienstleistungen im Sinne des § 10 Abs. 1 S. 1 BSI-G:
                  – die Versorgung der Allgemeinheit mit Elektrizität (Stromversorgung)
                     – die Versorgung der Allgemeinheit mit Gas (Gasversorgung) […]“

 

Zweiter Schritt: Identifizierung der erforderlichen Anlagen

Im zweiten Schritten werden die Kategorien von Anlagen identifiziert, die für die Erbringung der kritischen Dienstleistungen erforderlich sind. Dabei beruht die Festlegung ausweislich des Referentenentwurfs auf Studien des BSI sowie Erörterungen mit Experten und Vertretern der betroffenen Branchen.

Die Sektoren verweisen an dieser Stelle regelmäßig auf die Anlage 1 zu der BSI-KritisV. Für den Sektor Energie heißt es bspw. in § 2 Abs. 5 Nr. 1 BSI-KritisV:

„den in Anhang 1 Teil 3 Spalte B genannten Kategorien zuzuordnen sind und die für die Stromversorgung […] genannten Bereichen erforderlich sind […].“

In Teil 3 Spalte B der Anlage 1 werden sodann die Anlagen aufgeführt, wie bspw. „Erzeugungsanlage“, „dezentrale Energieerzeugungsanlage“, „Speicheranlage“, „Stromübertragung“ oder „Verteilernetz“

Dritter Schritt: Bestimmung der Anlagen, die eine gesamtgesellschaftliche Bedeutung haben

Im letzten und dritten Schritt werden ausgehend von den identifizierten Anlagekategorien konkrete Anlagen oder Teile davon bestimmt, die einen aus gesamtgesellschaftlicher Sicht bedeutenden Versorgungsgrad aufweisen. Dabei können nur solche Infrastrukturen als kritisch gelten, die aus Bundessicht hinreichend bedeutsam sind. Insofern wird hier auf die ermittelten Schwellenwerte verwiesen. Die branchenspezifischen Schwellenwerte werden ebenfalls in Anhang 1 aufgeführt.

Für den Sektor Energie wird nach § 2 Abs. 5 Nr. 2 BSI-KritisV auf Anlage 1 Teil 3 Spalte D verwiesen. So liegt der Schwellenwert für ein Verteilernetz bspw. bei 3.700 GWh/Jahr. Dieser Schwellenwert ergibt sich unter der Annahme eines Durchschnittsverbrauchs von 7 375 kWh pro versorgter Person/Jahr und eines Regelschwellenwertes von 500.000 versorgten Personen, also:

3.700 GWh/Jahr = 7.375 kWh/Jahr x 500.000 versorgter Personen.

Wie am Beispiel des Energiesektors aufgeführt, wird die Bestimmung Kritischer Infrastrukturen durch den Referentenentwurf der BSI-KritisV schon transparenter, wenngleich sicherlich an der einen oder anderen Stelle noch Unklarheiten beseitigt werden müssen. Die Rechtsverordnung soll nach Angaben des BSI noch im Frühjahr 2016 erlassen werden. Für die Bereiche Transport und Verkehr, Gesundheit, Finanz und Versicherungswesen werden die Kriterien Ende 2016 in einem zweiten Korb erlassen.

Die Verkündung der BSI-KritisV hat zur Folge, dass die Fristen aus § 8b Abs. 3 BSI-G und § 8a Abs. 1 BSI-G zu laufen beginnen. Der Betreiber einer kritischen Infrastruktur muss dann innerhalb von 6 Monaten eine Kontaktstelle beim BSI benennen (§ 8b Abs. 3 BSI-G) und innerhalb von 2 Jahren die Sicherungspflichten nach § 8a Abs. 1 BSI-G umsetzen. Zudem muss er ab diesem Zeitpunkt der ihm obliegenden Meldepflicht nach § 8b Abs. 4 BSI-G nachkommen.

Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind gem. § 8c Abs. 2, 3 BSI-G vom Anwendungsbereich der § 8a BSI-G und § 8b BSI-G zwar ausgenommen, jedoch gelten über § 11 EnWG dieselben Verpflichtungen.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (4 Bewertungen, Durchschnitt: 4,00 von 5)

RSSKommentare (0)

Kommentar schreiben | Trackback URL

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×