IT-Sicherheitsgesetz: Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz

Durch das IT-Sicherheitsgesetz wurde die Grundlage geschaffen, das insbesondere für so genannte kritische Infrastrukturen Meldepflichten vorsieht (dazu speziell §8a BSI-Gesetz). Allerdings fehlt bisher die entsprechend §10 BSI-Gesetz noch zu erlassende Rechtsverordnung die die entsprechenden Vorgaben macht.

Nachdem der Referentenentwurf des Bundesministeriums des Innern veröffentlicht wurde, wurde dieser beschlossen und verkündet. Diese „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritisverordnung – BSI-KritisV) setzt sich mit den Umständen auseinander, die kritische Infrastrukturen definieren. Im Mai 2017 wurde die Verordnung überarbeitet und um weitere Sektoren ergänzt.

Hinweis: Beachten Sie zur IT-Sicherheit unsere Übersichtsseite mit weiteren Informationen!


Die Verordnung als solche ist relativ einfach aufgebaut (jedenfalls was das System angeht): Man geht davon aus, dass eine Versorgung von mehr als 500.000 Bürgern die „kritische Schwelle“ ist. Auf Grund von Formeln wird dies dann für den jeweils betreffenden Sektor umgerechnet in seinen eigenen Leistungsfaktor. Wenn dann der entsprechende Leistungsfaktor überschritten ist, tritt die Meldepflicht ein. Das sieht dann so aus, dass beispielsweise bei einem Wasserwerk ab einem Wasseraufkommen in Höhe von 21,9 Mio. m3/Jahr die Meldepflicht vorliegt.

Mit dem IT-Sicherheitsgesetz ergeben sich dabei die Folgenden Sektoren, wobei jedem Sektor ein eigener Anhang mit den entsprechenden Werten gewidmet ist, die Verordnung definiert dann nochmal einzeln was von jedem Sektor erfasst ist:

  • Sektor Energie: §2, Anhang 1
  • Sektor Wasser: §3, Anhang 2
  • Sektor Ernährung: §4, Anhang 3
  • Sektor Informationstechnik und Telekommunikation: §5, Anhang 4
  • Sektor Gesundheit: §6, Anhang 5
  • Sektor Finanz- und Versicherungswesen: §7, Anhang 6
  • Sektor Transport und Verkehr: §8, Anhang 7

Die weiteren relevanten Sektoren wie insbesondere Gesundheit und Transport&Verkehr sind seit der Überarbeitung im Mai 2017 enthalten.

Auch wenn es Lobenswert ist, nicht gleich jeden Bauernhof mit solchen Pflichten zu versehen, so ergeben sich doch einige erhebliche Bedenken: Die Wasserversorgung in Deutschland ist Dezentral ausgerichtet und gerade ländliche Bezirke könnten regelmäßig unter dem Schwellenwert liegen. Es wäre anzudenken, jegliche Kläranlage und jegliches Wasserwerk von den doch überschaubaren Pflichten automatisch erfassen zu lassen, nicht zuletzt auf Grund des erheblichen bestehenden Risikos für die öffentliche Versorgung; ebenso wären zumindest Grundversorger automatisch zu erfassen (auch wenn diese ohnehin über dem Schwellenwert liegen sollten). Spannender werden die Schwellenwerte sicherlich im Bereich Ernährung und IT.

Wichtige Fristen im Zusammenhang mit der Verordnung: Wenn die Verordnung Verkündet wurde tritt sie einen tag später in Kraft. Ab dann laufen folgende wichtigen Fristen:

  1. Die Betreiber kritischer Infrastrukturen haben innerhalb von 6 Monaten eine Kontaktstelle beim BSI zu benennen entsprechend §8b Abs.3 BSI-G
  2. Die Sicherungspflichten nach §8a Abs.1 BSI-G sind innerhalb von 2 Jahren zu erfüllen

Es drängt also nicht gerade, aber man sollte sich nun wirklich um das Thema kümmern.

Dazu auch:

Fachanwalt für IT-Recht Jens Ferner