Der Bundestag hat am 23. April 2021 das IT-Sicherheitsgesetz 2.0 verabschiedet. Die Billigung des Bundesrates ist am 7. Mai 2021 erfolgt.
Neben deutlich erweiterten Befugnissen für das Bundesamt für Sicherheit in der Informationstechnik (BSI) sind einige Änderungen für Betreiber kritischer Infrastrukturen beschlossen worden. Wesentliche Änderungen sind:
- Betreiber kritischer Infrastrukturen sind zukünftig verpflichtet, Systeme zur Angriffserkennung, sog. Intrusion Detection Systeme, einzusetzen.
- Das Bundesministerium des Inneren (BMI) kann den Einsatz von Komponenten nicht vertrauenswürdiger Hersteller unter bestimmten Bedingungen untersagen.
- Die möglichen Bußgelder werden erheblich (bis zu EUR 20 Mio.) erhöht.
Neu aufgenommen wird der Sektor Siedlungsabfallentsorgung, so dass auch Entsorgungsunternehmen als Betreiber kritischer Infrastrukturen eingestuft werden können, wenn sie mehr als 500.000 Menschen versorgen.
Ebenfalls neu ist die eingeschränkte Ausweitung der Regelungen auf Unternehmen im besonderen öffentlichen Interesse. Unternehmen im besonderen öffentlichen Interesse sind
- Rüstungsunternehmen
- Unternehmen, die aufgrund ihrer erbrachten inländischen Wertschöpfung zu den größten Unternehmen gehören
- Unternehmen, die der Störfallverordnung unterliegen
Die Vorgaben zur Einstufung auf Basis der Wertschöpfung werden noch in einer gesonderten Verordnung geregelt.
Änderung der BSI-Kritisverordnung (BSI-KritisV) angekündigt
Kurz nach dem Beschluss des Bundestags hat das BMI einen Entwurf zur Änderung der BSI-Kritisverordnung vorgelegt. Die BSI-Kritisverordnung regelt die Schwellenwerte, ab denen eine Anlage als kritische Infrastruktur einzustufen ist, für die Sektoren und Anlagenkategorien.
Der vorliegende Entwurf enthält eine Vielzahl von Anpassungen, die sich aus den Erfahrungen des BSI seit der ersten Verordnung von 2015 ergeben. Die Verordnung wird an vielen Stellen präzisiert, um aufgetretene Unklarheiten eindeutiger zu regeln. Auch andere Regelungslücken, wie bspw. die Klarstellung, ab wann ein Unternehmen die Vorgaben erfüllen muss, werden aufgelöst.
Weiterhin wurden einige Anlagenkategorien neu aufgenommen, die von den bisherigen Definitionen nicht oder nicht eindeutig erfasst waren, bspw. Umschlaganlagen für See- und Binnenhäfen oder Wertpapierhandelssysteme. Wenige Anlagenkategorien wurden gestrichen, da sie sich als irrelevant herausgestellt haben.
Die erwartete Herabsenkung der Schwellenwerte zur Einstufung einer Anlage als kritische Infrastruktur ist hingegen nur in Einzelfällen erfolgt. Bemerkenswert ist jedoch die Änderung des Schwellenwerts für Stromerzeugungsanlagen, der von 420 MW auf 36 MW herabgesetzt werden soll. Die Begründung für diese deutliche Reduzierung liegt in der Bedeutung der kleineren Kraftwerke für die Netzstabilität, die bereits durch den Ausfall eines solchen kleinen Kraftwerkes gefährdet sein und großräumige Stromausfälle nach sich ziehen kann.
Durch die Änderungen in den Anlagenkategorien können sich jedoch neue Einstufungen von Betreibern als kritische Infrastrukturen ergeben, da für diese neuen Anlagenkategorien teilweise geringere Schwellenwerte gelten. Dies ist bspw. bei Produktion, Transport und Lagerung von Kerosin der Fall (bisher 420.000 t/Jahr, jetzt 63.750 t/Jahr) oder beim Betrieb einer Umschlaganlage in See- und Binnenhäfen (bisher 17 Mio. t, jetzt 3,27 Mio. t).
Die Anlagenkategorien und Schwellenwerte für den Sektor Siedlungsabfallentsorgung, der durch das IT-Sicherheitsgesetz 2.0 hinzugekommen ist, sind im vorliegenden Entwurf noch nicht enthalten. Insofern ist eine erneute Überarbeitung zu erwarten.
Neu ist auch die Erweiterung der Definition der "gemeinsamen Anlage". Eine "gemeinsame Anlage" sind jetzt auch Anlagen, die "in einem betriebstechnischen Zusammenhang" verbunden sind. Eine nähere Definition dazu liegt noch nicht vor. Besonders für Krankenhäuser könnte dies aber eine relevante Erweiterung sein, wenn mehrere Krankenhäuser ihre IT-Umgebung in einem gemeinsamen Rechenzentrum betreiben. Bisher war diese Konstellation von der Einstufung als gemeinsame Anlage ausgenommen.
Fazit
Unternehmen, die bereits als kritische Infrastruktur eingestuft sind, sollten prüfen, ob sie die neuen Anforderungen erfüllen oder ihre Sicherheitsmaßnahmen anpassen müssen. Alle Unternehmen der regulierten Sektoren sollten prüfen, ob sie durch die Anpassung der Formulierungen und der Schwellenwerte in der BSI-Kritisverordnung zukünftig als kritische Infrastruktur eingestuft werden. Dies gilt insbesondere vor dem Hintergrund der gestiegenen Bußgelder. Zukünftig betroffene Unternehmen des Sektors Siedlungsabfallentsorgung und potentiell betroffene Unternehmen im besonderen öffentlichen Interesse sollten jetzt beginnen, ihre IT-Sicherheitsmaßnahmen zu überprüfen und erforderliche Anpassungen einzuleiten. Die Erfahrung mit durch FIDES bereits durchgeführten KRITIS-Prüfungen (Prüfung nach § 8a BSIG) und Beratungen von Unternehmen der kritischen Infrastruktur zeigt, dass nahezu alle betroffenen Unternehmen erheblichen Anpassungsbedarf haben und daher umgehend Maßnahmen einleiten sollten, um die Umsetzung nicht innerhalb der knappen vom Gesetzgeber vorgesehenen Frist durchführen zu müssen.
