feedback

Kritische Infrastrukturen werden durch Ministerverordnungen identifizierbar

Am 3.5.2016 ist die vom Bundesinnenminister vorgelegte Ministerverordnung zur Bestimmung Kritischer Infrastrukturen nach dem Gesetz für das Bundesamt für Sicherheit in der Informationstechnik - BSI-Gesetz - in Kraft getreten. Mit der neuen Verordnung (BSI-KritisV) konkretisiert das Bundesministerium, welche Anlagen aus den Bereichen Informations- und Kommunikationstechnik (IKT), Energie, Wasser und Ernährung unter die neue Meldepflicht des IT-Sicherheitsgesetzes fallen.

Betreiber dieser Sektoren sollen laut Bundesinnenministerium nun anhand messbarer und nachvollziehbarer Kriterien feststellen, ob die von ihnen betriebenen Anlagen Kritische Infrastrukturen sind. Bis Anfang 2017 sollen per Änderungsverordnung auch die Anlagen in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen identifizierbar werden. Soweit Betreiber betroffen sind, werden diese durch die Verordnung verpflichtet, dem BSI "erhebliche Störungen ihrer informationstechnischen Systeme" - je nach Sektor spätestens nach einer Übergangsfrist von sechs Monaten - zu melden und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.

Bislang oblag die Bewertung, welche der Infrastrukturen, die die Bevölkerung mit wichtigen Dienstleistungen versorgen, als kritisch anzusehen sind, der Einschätzung des jeweiligen Betreibers. Nach der Verordnung hat diese Bewertung nun gemäß einer vorgegebenen Methodik zu erfolgen, bei der zunächst identifiziert wird, welche Dienstleistungen dieser Sektoren wegen ihrer Bedeutung überhaupt als kritisch anzusehen sind und welche Kategorien von Anlagen für die Erbringung dieser Dienstleistungen erforderlich sind. Darüber hinaus lassen sich ausgehend von den identifizierten Anlagenkategorien konkrete Anlagen bestimmen, die einen aus gesamtgesellschaftlicher Sicht bedeutenden Versorgungsgrad (der jeweilige Beitrag einer Anlage zur Versorgung mit einer kritischen Dienstleistung) aufweisen. Nur diese sollen laut Verordnung künftig auch als Kritische Infrastrukturen gelten.