01.09.2017

IT-Sicherheitsgesetz 2. Korb:

Bundesregierung beschließt Schwellenwerte für die Branchen Finanzen und Versicherungen, Gesundheit sowie Transport und Verkehr

am 31. Mai 2017 hat die Bundesregierung die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)“ beschlossen und damit die bisher noch fehlenden Schwellenwerte für die Branchen Finanzen und Versicherungen, Gesundheit sowie Transport und Verkehr Versicherungsunternehmen im Rahmen des IT-Sicherheitsgesetz festgelegt.

Am 12. Juni 2015 ist das vom Bundestag verabschiedete IT-Sicherheitsgesetz (ITSiG)in Kraft getreten.

Ziel des Gesetzes ist es, vor dem Hintergrund einer zunehmenden Bedrohung durch Internetkriminalität und Cyber-Attacken, die Versorgung der Bevölkerung mit Ressourcen oder Dienstleistungen bestimmter Branchen (s. Abb. 1) sicherzustellen, die als kritisch angesehen werden.

Das Gesetz fordert von Betreibern kritischer Infrastrukturen (KRITIS) u. a. die Umsetzung von Mindeststandards im Bereich der IT-Sicherheit, die „dem Stand der Technik entsprechen“ (s. Abb. 2). Dies entspricht faktisch der Pflicht zur Umsetzung eines der anerkannten IT-Sicherheitsstandards ISO/IEC 27001 bzw. ISO 27001 auf Basis von IT-Grundschutz.

Welche Unternehmen der betroffenen Branchen den Regelungen des ITSiG unterliegen wird durch Definition von Schwellenwerten in Rechtsverordnungen festgelegt. Die Findung der Schwellenwerte erfolgt anhand einer dreistufigen Methodik:

  1. Definition der kritischen Dienstleistungen
  2. Identifizierung der dafür notwendigen Anlagen
  3. Definition der Schwellenwerte

Als Bemessungsgrundlage wird dabei in den meisten Fällen die sog. 500.000-er-Regel angewendet, d.h. anhand von Durchschnittsverbräuchen pro Kopf wird die notwendige Versorgungsleistung für 500.000 Einwohner berechnet; liegt die Produktionsmenge der Anlage darüber, fällt diese unter das ITSiG.

Durch die am 3. Mai 2016 in Kraft getretene „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)“ wurden die Schwellenwerte für den sog. „1. Korb“,

d. h. die Anlagen der Branchen Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung festgelegt. So wurde beispielsweise im Ernährungssektor für Anlagen zur Produktion von Nahrungsmitteln ein Schwellenwert von 434.000 t gewonnener Lebensmittel pro Jahr definiert.

Für die übrigen Branchen fehlte bisher eine rechtverbindliche Definition der Schwellenwerte, die mit der o. a. Änderungsverordnung nun vorliegen und von denen im Folgenden beispielhaft einige genannt werden:

Gesundheit

  • Krankenhäuser: ab 30.000 stationären Fällen pro Jahr
  • Produktionsstätten und Abgabestellen für Medizinprodukte: ab einem Jahresumsatz von 90,6 Millionen Euro

Finanzen und Versicherungswesen

  • Kontoführungssysteme: ab 15 Millionen Transaktionen im Jahr
  • Systeme in Verbindung mit Lebensversicherungen: ab 500.000 Leistungsfällen im Jahr

Transport und Verkehr

  • Abfertigungsanlagen und Flughäfen: ab 1,3 Millionen Passagieren im Jahr beziehungsweise 27.700 Tonnen Fracht im Jahr
  • Logistikzentren: ab 17,5 Millionen Sendungen im Jahr

Die Änderungsverordnung wird mit der noch ausstehenden Veröffentlichung (voraussichtlich im Juni) rechtswirksam. Der entsprechende Referentenentwurf ist jedoch bereits veröffentlicht und es ist davon auszugehen, dass die Änderungsverordnung mit diesem Entwurf weitestgehend identisch sein wird.

Haben Sie Fragen, Anregungen oder Kritik kontaktieren Sie uns. Wir

befähigen und unterstützen Sie bei der effizienten und wirtschaftlichen Umsetzung Ihrer Anforderungen.

zurück