Störerhaftung für WLAN-Betreiber gekippt
Digitaler Nachlass - Info

IT-Sicherheitsgesetz: Erste Schwellenwerte zur Bestimmung Kritischer Infrastrukturen für die Lebensmittelbranche veröffentlicht

Das IT-Sicherheitsgesetz aus dem Sommer 2015 soll u.a. die Betreiber von für das Gemeinwohl besonders wichtigen Infrastrukturen wie Energie, Wasser, Ernährung, Gesundheit oder Telekommunikation (sogenannte Kritischen Infrastrukturen) verpflichten, Ihre Netze zum Beispiel besser vor Hacker-Angriffen zu schützen. Neben einer Meldepflicht etwaiger Attacken und sonstiger IT-Sicherheitsvorfällen werden zudem Mindeststandards für die IT-Sicherheit bei den Betreibern solcher IT-Infrastrukturen branchenweit festgelegt.

Entsprechende Standards sollen die Branchen selbst entwickeln, welche dann vom Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) genehmigt werden. Im Anschluss daran sollen die Unternehmen alle zwei Jahre nachweisen, dass sie die Anforderungen noch erfüllen.

Das IT-Sicherheitsgesetz beantwortete jedoch noch nicht die wesentliche Frage, welche Unternehmen konkret als Kritischen Infrastrukturen im Sinne des Gesetzes gelten. Die Beschreibung erfolgte eher abstrakt und wurde später zu verabschiedenden Rechtsverordnungen überlassen. Für jede relevante Branche aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, sollen also eigene Rechtsverordnungen zur Klärung dieser Fragestellung erstellt werden.

Ein erster Entwurf einer solchen Rechtverordnung liegt nunmehr vor, der sich insbesondere auch mit dem Bereich der Ernährung beschäftigt, die wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens durch die Versorgung der Allgemeinheit mit Lebensmitteln mit von dem Gesetz umfasst ist. Hierbei wird die Lebensmittelversorgung in Lebensmittelproduktion, -verarbeitung und den Handel mit Lebensmitteln unterteilt.

Im Sektor Ernährung sollen nach aktuellem Stand zum Beispiel solche Anlagen oder Teile davon kritische Infrastrukturen sein, die zu den nachstehenden Kategorien gehören und die angegebenen Schwellenwerte übersteigen:

In der Lebensmittelproduktion und -verarbeitung etwa Anlagen zur Produktion von Agrarerzeugnissen mit gewonnenen Speisen von 334.000 Tonnen oder Getränken von 274,5 Millionen Liter pro Jahr. Der gleiche jährliche Umfang gilt etwa für Anlagen zur Bearbeitung und Verarbeitung von Agrarrohstoffen und zur Produktion von Lebensmitteln, Anlagen zur Lagerung oder Distribution von Lebensmitteln.

Auch im Lebensmittelhandel soll ab einem Umfang von Speisen von 334.000 Tonnen oder Getränken i.H.v. 274,5 Millionen Liter pro Jahr der betreffende Schwellenwert erreicht sein, den Betrieb oder die Anlage zu einer Kritischen Institution macht.

Ist dies jeder Fall und die Verordnung wird nach einer weiteren Branchenbefragung in dieser Form verkündet, tritt sie einen Tag später in Kraft. Ab dann laufen folgende wichtigen Fristen:

  1. Die Betreiber kritischer Infrastrukturen haben innerhalb von 6 Monaten eine Kontaktstelle beim BSI zu benennen und sicherzustellen, dass sie hierüber jederzeit erreichbar sind.
  2. Die vorgeschriebenen Sicherungspflichten sind innerhalb von 2 Jahren zu erfüllen, d.h. die betroffenen Betreibe und Anlagen haben angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

Das BSI kann Anordnungen zur Erfüllung der Vorschriften des Gesetzes erlassen. Bei etwaigen Verstößen Sie sieht das Gesetz Geldstrafen von bis zu 100.000 € vor.

Zur Einführung in die Bestimmungen sei der Hinweis auf den allersten Praxis-Kurzkommentar des Verfassers aus dem Herbst 2015 erlaubt.

Das Bundesinnenministerium hat angekündigt, dem Kabinett den Entwurf der Verordnung nach Abschluss der Prüfungen der Stellungnahmen zur Beschlussfassung noch im März vorlegen zu können. Man rechnet mit einem Inkrafttreten  Ende April/Anfang Mai.