Kritische Infrastrukturen? Besondere Pflichten!

Download PDF
(c) BBH

(c) BBH

Betreiber sogenannter Kritischer Infrastrukturen, darunter insbesondere auch aus der Energiewirtschaft, müssen nach dem BSI-Gesetz (BSIG) und speziellen Regelungen im Energiewirtschaftsgesetz (EnWG) künftig einen Mindeststandard an IT-Sicherheit einhalten und IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Wer fällt genau darunter? Dazu hat jetzt das Bundesinnenministerium (BMI) einen Verordnungsentwurf vorgelegt. Die gute Nachricht: die Zahl der Anlagen, die betroffen sind, dürfte überschaubar sein. Die schlechte Nachricht: Es werden Widersprüchlichkeiten in den Regelungen erkennbar, Strom- und Gasnetzbetreiber sind stärker belastet als Unternehmen der anderen betroffenen Sektoren.

Zum Hintergrund: „Kritisch“ sind Infrastrukturen im Prinzip dann, wenn ohne sie das Gemeinwesen nicht funktionieren würden, weil es zu nachhaltig wirkenden Versorgungsengpässen oder erheblichen Störungen der öffentlichen Sicherheit käme, wenn sie ausfielen. Betroffen sind die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Wer solche Infrastrukturen betreibt, muss

  • angemessene organisatorische und technische Vorkehrungen treffen, damit Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse (zwei Jahren nach Inkrafttreten der BSI-Kritis-Verordnung) nicht gestört werden. Hierzu können aus den betroffenen Branchen branchenspezifische Sicherheitsstandards vorgeschlagen werden.
  • alle zwei Jahre nachweisen (zum Beispiel durch Sicherheitsaudits, Prüfungen und Zertifizierungen), dass er die Anforderungen erfüllt.
  • erhebliche Störungen der informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der betriebenen Kritischen Infrastrukturen führen, melden.

BSI-Kritisverordnung: Wer fällt darunter?

Welche Anlagenkategorien nun genau unter Kritische Infrastrukturen fallen, hat das BMI kürzlich in einem Verordnungsentwurf (BSI-KritisV) klargestellt, und zwar (zunächst) für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung. Der „Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung)“, der zur Stellungnahme an die Länder und Verbände ging und parallel auf der Internetseite des BMI veröffentlicht wurde, setzt dabei auch jeweils Schwellenwerte zum Versorgungsgrad fest. Tendenziell fallen diese Schwellenwerte eher hoch aus, so dass nach der Verordnung eigentlich nur eine überschaubare Zahl von Anlagen in den genannten Sektoren betroffen sein dürfte. Das sind zum Beispiel:

  • Verteilernetzbetreiber Strom ab entnommener Arbeit von mindestens 3.700 GWh/Jahr,
  • Verteilernetzbetreiber Gas ab 5.190 GWh/Jahr,
  • Betreiber Stromerzeugungsanlagen ab installierter Leistung 420 MW,
  • Abwasserbeseitigung ab 500.000 an Kanalisation, Kläranlage oder Leiteinrichtung angeschlossene Einwohner oder
  • Trinkwasserversorgung ab gewonnener, aufbereiteter oder verteilter Menge von 21,9 Mio. m3/Jahr.

Für die Betreiber von Energieanlagen (etwa großer Erzeugungsanlagen), die die Schwellenwerte überschreiten, wird die Bundesnetzagentur (BNetzA) nach Inkrafttreten der BSI-KritisV auf der Grundlage von § 11 Abs. 1b EnWG einen eigenen Sicherheitskatalog erstellen, der die Maßnahmen vorgibt, die sie umsetzen müssen.

Bis Ende 2016 sollen per Änderungsverordnung übrigens auch die Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen geregelt werden. Die Kritischen Infrastrukturen dieser Sektoren sind im aktuellen Verordnungsentwurf noch nicht berücksichtigt.

Keine Entwarnung für kleine und mittlere Strom- und Gasnetzbetreiber – Widersprüche in den Regelungen und rechtliche Bedenken

Für Strom- und Gasnetzbetreiber ist zu beachten, dass § 11 Abs. 1a EnWG vorrangig gilt und unverändert ausnahmslos alle Netzbetreiber verpflichtet, von der BNetzA vorgegebene Regelungen zu Mindeststandards in der IT-Sicherheit umzusetzen. Die BNetzA hatte am 12.8.2015 einen IT-Sicherheitskatalog veröffentlicht, der gleichermaßen von allen Netzbetreibern umzusetzen ist, egal, ob sie von der Größe her als Kritische Infrastruktur anzusehen sind. Die Neuregelung bestimmt nur, wer zusätzlich als Betreiber Kritischer Infrastrukturen die Meldepflichten gegenüber dem BSI erfüllen muss. Eine Befreiung von dem Katalog fehlt.

Grundsätzlich bleiben Netzbetreiber also immer noch verpflichtet, ein Informationssicherheits-Managementsystem (ISMS) gemäß DIN ISO/IEC 27001 einzuführen und durch eine unabhängige hierfür zugelassene Stelle zertifizieren zu lassen. Darüber hinaus muss jeder Netzbetreiber der BNetzA einen „Ansprechpartner IT-Sicherheit“ benennen. Dieser muss unter anderem in der Lage sein, der Behörde auf Anfrage unverzüglich über den Umsetzungsstand des IT-Sicherheitskatalogs und aufgetretene Sicherheitsvorfälle Auskunft zu geben.

Netzbetreiber müssen der BNetzA bis zum 31.1.2018 mitteilen, dass sie ein Zertifizierungsverfahren für das ISMS durchgeführt haben und eine Kopie des Zertifikats vorlegen. Der Ansprechpartner IT-Sicherheit und dessen Kontaktdaten waren der BNetzA bereits zum 30.11.2015 über ein auf der Internetseite der BNetzA bereit gestelltes Formular per E-Mail mitzuteilen.

Und wie geht es weiter?

Die Verbände, die das BMI angesprochenen hat, haben zunächst die Möglichkeit, bis zum 23.2.2016 Stellung zu nehmen. Am 2.3.2016 findet außerdem eine Anhörung zu dem Verordnungsentwurf in den Räumlichkeiten des BMI statt. Dann wird man sehen, ob der Entwurf so durchgewunken wird.

In Bezug auf den IT-Sicherheitskatalog hingegen werden Stimmen laut, die insoweit eine Nachbesserung zugunsten kleiner Netzbetreiber fordern bzw. rechtliche Bedenken äußern.

Ansprechpartner: Dr. Jost Eder/Dr. Thies Christian Hartmann/Alexander Bartsch