Mit dem am 25. Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz werden Betreiber Kritischer Infrastrukturen (KRITIS) verpflichtet, ihre IT-Systeme durch angemessene, organisatorische und technische Vorkehrungen zu schützen und erhebliche IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Bislang oblag die Bewertung, ob Infrastrukturen für die Versorgung der Allgemeinheit mit wichtigen Dienstleistungen als kritisch anzusehen sind, der Einschätzung des jeweiligen Betreibers. Nun hat das Bundesministerium des Innern (BMI) einen Entwurf einer Verordnung zur Bestimmung von KRITIS (Referentenentwurf) für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung vorgelegt. Demnach sind in diesen Sektoren zirka 680 Anlagen vom IT-Sicherheitsgesetz betroffen, welche die in der Rechtsverordnung berechneten Schwellenwerte überschreiten. Eine Dienstleistung ist demzufolge als kritisch anzusehen, wenn jeweils 500.000 oder mehr Bürgerinnen und Bürger von einer Dienstleistung abhängig sind. Der Verbrauch dieser Dienstleistung wird dann als Schwellenwert umgerechnet (z.B. 500.000 Kunden verbrauchen 21,9 Millionen m³ Wasser pro Jahr).

Das BMI hat der Referentenentwurf an die Bundesländer und Branchenverbände zur Kommentierung und Beratung übermittelt. Eine Überarbeitung ist somit sehr wahrscheinlich. Ende 2016 sollen zudem noch die Schwellenwerte für die Sektoren Gesundheit, Finanz- und Versicherungswesen ergänzt werden. Wir werden Sie über den Fortgang regelmäßig weiter informieren.