Auf den Punkt.

Das Bundesinnenministerium hat einen ersten Entwurf für eine Rechtsverordnung vorgelegt, welche die Vorgaben des IT-Sicherheitsgesetzes konkretisiert. Die Rechtsverordnung legt fest, wer Betreiber einer kritischen Infrastruktur sein kann. Voraussichtlich sind in den Sektoren Ener-gie, Informationstechnik und Telekommunikation sowie Transport und Verkehr rund 650 Anlagen betroffen.

IT-Sicherheitsgesetz

Im Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Durch das Gesetz werden Betreiber Kritischer Infrastrukturen verpflichtet, besondere Maßnahmen zum Schutz der Informationstechnik zu ergreifen. Welche Unternehmen als Betreiber Kritischer Infrastrukturen anzusehen sind, wurde nur abstrakt festgelegt. Das Gesetz definiert Kritische Infrastrukturen als Einrichtungen, Anlagen oder Teile davon, die (1) den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und (2) von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Kritische Dienstleistungen und Anlagen

Die Rechtsverordnung legt zunächst fest, welche Dienstleistungen innerhalb der benannten Sektoren als Kritische Dienstleistungen einzustufen sind. Kritische Dienstleistungen sind Dienstleistungen zur Versorgung der Allgemeinheit in den benannten Sektoren, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit oder zu vergleichbaren Folgen führen würde. Im Sektor Energie sind Kritische Dienstleistungen zum Beispiel die Versorgung der Allgemeinheit mit Elektrizität, Gas, Kraftstoff und Heizöl sowie Fernwärme.

Die Rechtsverordnung legt weiter fest, was unter dem Begriff der Anlage zu verstehen ist. Anlagen sind (a) Betriebsstätten und sonstige ortsfeste Einrichtungen, und (b) Maschinen, Geräte und sonstige ortsveränderliche technische Einrichtungen, die zur Erbringung einer kritischen Dienstleistung erforderlich sind. Einer Anlage sind zudem alle vorgesehenen Anlagenteile und Verfahrensschritte zuzurechnen, die zum Betrieb notwendig sind, sowie Nebeneinrichtungen, die mit den Anlagenteilen und Verfahrensschritten in einem betriebstechnischen Zusammenhang stehen und die für die Erbringung einer kritischen Dienstleistung von Bedeutung sein können.

Liegt nun eine Anlage oder Einrichtung vor, die zur Erbringung einer Kritischen Dienstleistung erforderlich ist, ist diese Anlage oder Einrichtung als kritische Infrastruktur einzuordnen und gemäß den Regelungen des IT-Sicherheitsgesetzes zu behandeln, wenn sie den branchenspezifischen Schwellenwert erreicht oder übersteigt.

Schwellenwerte

Die Rechtsverordnung legt sodann für jede kritische Dienstleistung die branchenspezifischen Schwellenwerte fest. Hier sieht die Rechtsverordnung eine 500.000er Regelung vor. Nach Anwendung dieser Regelung wird der jeweils branchenspezifische Schwellenwert jeweils danach berechnet, welchen Bedarf an der jeweiligen kritischen Dienstleistung 500.000 Personen haben würden. Erreicht eine Anlage oder Einrichtung oder Teile davon diesen Schwellenwert, liegt eine Kritische Infrastruktur vor. Die Rechtsverordnung enthält insoweit eine Vielzahl von Berechnungsvorgaben, anhand derer jedes potentiell betroffene Unternehmen bestimmen muss, ob von ihm betriebene Einrichtungen oder Anlagen unter das IT-Sicherheitsgesetz fallen.

Handlungsbedarf

Sobald der Entwurf der Rechtsverordnung verabschiedet wird, haben die betroffenen Betreiber sechs Monate Zeit, die Voraussetzungen zur Erfüllung der Meldepflicht umzusetzen. Innerhalb von weiteren zwei Jahren ab Inkrafttreten der Rechtsverordnung müssen die Betreiber die notwendigen Sicherheitsmaßnahmen umsetzen. Für Unternehmen aus den betroffenen Sektoren empfiehlt es sich also bereits jetzt zu ermitteln, ob Teile ihrer Anlagen und Einrichtungen nun in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen. Zudem müssen die weiteren Entwicklungen im Rahmen der Rechtsverordnung beobachtet werden.