Referentenentwurf einer BSI-Kritisverordnung veröffentlicht
Diese Woche hat das Bundesinnenministerium den Referentenentwurf einer BSI-Kritisverordnung (PDF) veröffentlicht. Dort soll festgelegt werden, welche Anlagen als kritische Infrastrukturen gelten. Die Folge: Die Betreiber dieser Anlagen müssen zum Beispiel nach § 8b Abs. 4 BSIG bestimmte Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden und weitere besondere regulatorische Pflichten erfüllen. Hier eine kurze Erläuterung der Voraussetzungen, wann eine kritische Infrastruktur vorliegt.
Kritische Dienstleistungen und regulierte Anlagen im ITK-Sektor
Im Sektor Informationstechnik und Telekommunikation (ITK) müssen dafür zwei wesentliche Voraussetzungen erfüllt sein, die in Anhang 4 genauer beschrieben werden: Erstens muss es sich um Dienstleistungen handeln, die einer bestimmten Anlagenkategorie für die Sprach- und Datenübertragung oder Datenspeicherung und -verarbeitung zugeordnet sind. Zweitens müssen innerhalb dieser Kategorie bestimmte Schwellenwerte für den Versorgungsgrad mindestens erreicht worden sein.
Diese Schwellenwerte werden auf zwei unterschiedliche Weisen ermittelt. So gibt es einige Anlagen, für die aufgrund des Telekommunikationsgesetzes (TKG) oder des Post- und Telekommunikationssicherstellungsgesetzes (PTSG) bereits Schwellenwerte bestehen. In diesen Fällen wurden die bisherigen Werte übernommen, auch um unterschiedliche regulatorische Vorgaben zu vermeiden. Zum Beispiel sind bei öffentlichen Telekommunikationsnetzen 100.000 Teilnehmer maßgeblich.
500.000 versorgte Personen als Schwellenwert
Bei den übrigen Anlagen gibt es bislang noch keine festen Schwellenwerte, weshalb verschiedene Werte miteinander kombiniert werden. Der Referentenentwurf geht dabei davon aus, dass die Anlagen jedenfalls eine Bedarfsabdeckung von 500.000 versorgten Personen erfüllen müssen. Diese Zahl ergebe sich aus Erfahrungswerten bei der Stromversorgung, die aber auch auf andere Bereiche übertragbar seien. Nach diesen könnten Ausfälle nicht mehr mit vorhandenen Notfallkapazitäten kompensiert werden, wenn mehr als 500.000 Personen betroffen sind.
Das mag zunächst etwas willkürlich klingen, zumal bei den Anlagen mit bereits vorhandenen Schwellenwerten sich diese stets an der Einheit „Teilnehmer” orientieren. Teilnehmer ist aber nach § 3 Nr. 20 TKG die Person, die einen Vertrag mit dem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten hat. Da hinter jedem Teilnehmer jedoch nicht immer nur eine Einzelperson steckt, sondern auch Familien oder sogar Unternehmen, werden auch hier mehr „Personen” betroffen sein. Insofern erscheint die Zahl 500.000 gar nicht mehr so fernliegend.
Der BMI-Referentenentwurf einer BSI-Kritisverordnung.
Aktuell dazu die Pressemitteilung auf kritis.bund.de.
