Adressaten des IT-Sicherheitsgesetzes

16:13 15 Juni in IT-Sicherheitsgesetz OnePage

Ausschlaggebend für die Geltung des IT-SicherheitsG ist, dass Unternehmen in dessen persönlichen Anwendungsbereich fallen. Dies ist der Fall, wenn ein Unternehmen als Betreiber einer KRITIS zu qualifizieren ist. Das BSIG kann diesbezüglich allenfalls als grobe Orientierungshilfe herangezogen werden. Nach § 2 Abs. 10 BSIG fallen unter KRITIS Einrichtungen, Anlagen oder Teile davon die zum einen den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und zum anderen von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Insbesondere auf den Versorgungsgrad, die Auswirkungen eines Ausfalls bzw. einer Beeinträchtigung, zeitliche Aspekte (Schnelligkeit und Dauer des Ausfalls bzw. der Beeinträchtigung), Marktbeherrschung sowie die Auswirkung auf den Wirtschaftsstandort sind dabei im Rahmen der Bestimmung von KRITIS von besonderer Bedeutung. Im Übrigen wird auf das Bundesministerium des Inneren (BMI) verwiesen, dem vom Gesetzgeber in § 10 Abs. 1 BSIG das Recht eingeräumt wurde, die konkrete Ausgestaltung des Anwendungsbereichs im Wege von Rechtsverordnungen festzulegen. Dadurch wird deutlich, dass nicht jede Dienstleistung, die einem der vorgenannten Sektoren zuzuordnen ist, per se als KRITIS anzusehen ist.

Mit Datum vom 03.05.2016 ist mittlerweile die erste Ministerverordnung zur Bestimmung Kritischer Infrastrukturen im Sinne des § 10 Abs. 1 BSIG (BSI-KritisV) in Kraft getreten. Konkret werden die KRITIS in den Sektoren Energie, Ernährung, Informationstechnik und Technik sowie Wasser bestimmt. Die Bestimmung der KRITIS in den verbleibenden Sektoren, namentlich das Finanz- und Versicherungswesen, Gesundheit, Transport und Verkehr sollen bis Anfang 2017 im Wege einer Änderungsverordnung folgen.

Durch die Verordnung vom 03.05.2016 werden Betreiber in den aufgezählten Sektoren in die Lage versetzt festzustellen, ob die von Ihnen betriebenen Anlagen als KRITIS dem IT-SicherheitsG unterliegen.

Beispielhaft sind hier die Anforderungen für den Sektor Informationstechnik und Telekommunikation hinsichtlich Rechenzentren in Anhang 4 Teil 3 der BSI-KritisV zu nennen.

Danach fallen alle Rechenzentren mit einer vertraglich vereinbarten Leistung von durchschnittlich 5 MW unter das IT-SicherheitsG, beim IT-Hosting alle Serverfarmen mit 25.000 laufenden Instanzen sowie alle Content Delivery Networks mit einem ausgelieferten Datenvolumen von 75.000 TByte/Jahr. Ebenso verhält es sich bei den Vertrauensdiensten Trust Center, die 500.000 personengebunden Zertifikate oder 10.000 TLS-Zertifikate ausgeben. Zu den Internetanlagen, die unter das IT-SicherheitsG fallen, gehören z.B. Internetknoten (IXPs) mit mindestens 300 angeschlossenen autonomen Systemen. Betroffen sind auch DNS-Resolver, die im Jahresdurchschnitt von mindestens 2.5000.000 IP-Adressen pro Tag Anfragen erhalten, und autoritative DNS-Server, die für 250.000 Domains zuständig sind.

Das IT-SicherheitsG entfaltet darüber hinaus auch Auswirkungen auf das für Anbieter von Telekommunikations- und Telemediendiensten geltende Telemediengesetz.

Erhöhte Anforderungen in Bezug auf IT-Sicherheit gelten künftig nicht nur für Unternehmen mit KRITIS, sondern auch für sämtliche Unternehmen, die geschäftsmäßig Telemediendienste im Sinne des Telemediengesetzes anbieten. Diese Unternehmen werden durch das IT-SicherheitsG unter anderem zu einer Sicherstellung dahingehend verpflichtet, dass kein unerlaubter Zugriff auf ihre IT-Systeme erfolgen kann und dass die im Unternehmen verarbeiteten personenbezogenen Daten gegen Missbrauch und Störungen aller Art geschützt sind.

In § 8a BSIG wird nicht der Schutz der KRITIS in ihrer Gesamtheit geregelt. Erfasst sind lediglich die für die Funktionsfähigkeit maßgeblichen informationstechnischen Systeme, Komponenten oder Prozesse.

Verstöße gegen diese Pflichten werden derzeit mit Bußgeldern bis zu einer Höhe von 50.000 EUR sanktioniert.