Der 2. Korb der BSI-Kritisverordnung tritt in Kraft – Rechtsänderungen nicht nur im Bereich neuer KRITIS-Sektoren, sondern ebenso für die schon bestehenden Vorgaben

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 03.07.2017

Rechtsgebiete: WirtschaftsrechtComplianceHandels- und GesellschaftsrechtIT-RechtIT-Sicherheitsrecht|11592 Aufrufe

Nachdem vor über einem Jahr, im April 2016, der 1. Korb der BSI-Kritisverordnung (BSI-KritisV) in Kraft getreten ist, folgte am 30. Juni 2017 unmittelbar nach Verkündung im Bundesgesetzblatt einen Tag zuvor das Inkrafttreten des 2. Korbes der Verordnung. Zusammengefasst in der „Ersten Verordnung zur Änderung der BSI-Kritisverordnung“ vom 21. Juni 2017 wurden nicht nur die noch ausstehenden Sektoren Kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes konkretisiert, sondern auch einige der ursprünglichen Vorgaben der Verordnung partiell überarbeitet. Die ursprüngliche Gliederung der BSI-KritisV, die auf einem dreigeteilten Ansatz basiert, wird dabei beibehalten.

Der 1. Korb der BSI-KritisV enthielt die konkretisierenden Vorgaben für die Sektoren Energie, Wasser, Ernährung und Informations- und Kommunikationstechnik (IuK), wohingegen der 2. Korb die noch ausstehenden Sektoren im Sinne des IT-Sicherheitsgesetzes (IT-SiG) Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr konkretisiert.

Überblick über die Änderungen des 2. Korbes der BSI-KritisV

Die im 2. Korb der BSI-KritisV neu konkretisierten Sektoren wurden als §§ 6 bis 8 in die Rechtsverordnung eingefügt. § 6 enthält die Vorgaben zum Gesundheitssektor, § 7 die Vorgaben für das Finanz- und Versicherungswesen und § 8 diejenigen für den Sektor Transport und Verkehr:

Im Gesundheitssektor sind kritische Dienstleistungen im Sinne des BSIG die stationäre medizinische Versorgung; die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind; die Versorgung mit verschreibungspflichtigen Arzneimitteln und mit Blut- und Plasmakonzentraten sowie die Laboratoriumsdiagnostik. Die stationäre medizinische Versorgung umfasst die Aufnahme, Diagnose, Therapie, Unterbringung/Pflege wie auch die Entlassung von Patienten. Unter die „Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten“ fallen die Herstellung und die Abgabe selbiger. Die Versorgung mit verschreibungspflichtigen Arzneimitteln sowie Blutkonserven umfasst ebenso die Bereiche der Herstellung, des Vertriebs und der Abgabe. Die Laboratoriumsdiagnostik wird in den Bereichen Transport und Analyse erbracht. Ein Krankenhaus, das dem Bereich der stationären medizinischen Versorgung zuzuordnen ist, unterfällt ab einer Fallzahl von 30.000 vollstationären Patienten im Jahr den Regelungen zur Kritischen Infrastruktur. Für eine Apotheke gilt dies ab einer Zahl von 4.650.000 abgegebenen Packungen im Jahr, für ein Labor ab einer Anzahl von 1.500.000 Aufträgen pro Jahr.
Im Sektor Finanz- und Versicherungswesen unterfallen KRITIS gemäß den Vorgaben des BSIG die Bargeldversorgung, der kartengestützte Zahlungsverkehr, der konventionelle Zahlungsverkehr, die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften sowie Versicherungsdienstleistungen. Die Bargeldversorgung umfasst im Einzelnen die folgenden Bereiche: Autorisierung einer Abhebung, Einbringen in den Zahlungsverkehr, Belastung des Kundenkontos und Bargeldlogistik. Kartengestützter Zahlungsverkehr beinhaltet die Bereiche Autorisierung, Einbringen in den Zahlungsverkehr sowie Belastung des Kundenkontos und die Gutschrift auf dem Konto des Zahlungsempfängers. Der konventionelle Zahlungsverkehr wird in den Bereichen Annahme einer Überweisung oder einer Lastschrift, Einbringen in den Zahlungsverkehr sowie Belastung und Gutschrift auf dem Kundenkonto erbracht. Die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften umfasst vor allem auch die Verbuchung von Wertpapieren sowie von entsprechenden Geldern. Kritische Versicherungsdienstleistung ist die Inanspruchnahme von Versicherungsleistungen.
Für den Sektor Transport und Verkehr wird die Versorgung der Allgemeinheit mit Leistungen zum Transport von Personen und Gütern (Personen- und Güterverkehr) als kritische Dienstleistung definiert. Erbracht wird der Personen- und Güterverkehr durch die Verkehrsträger Luftverkehr, Schienenverkehr, Binnen- und Seeschifffahrt, Straßenverkehr und verkehrsträgerübergreifend durch den ÖPNV, sowie durch die Logistik. Passagierflugplätze gelten ab einer Anzahl von 20.000.000 Passagieren im Jahr als Kritische Infrastruktur. Personenbahnhöfe sind KRITIS, soweit sie der jeweils höchsten Kategorie zuzuordnen sind. Erfasst sind dadurch zum Beispiel die Hauptbahnhöfe von Berlin, Dortmund, Dresden, Düsseldorf, Frankfurt am Main, Hamburg, Köln, Leipzig, München, Nürnberg und Stuttgart. Im Straßenverkehr gelten die Verkehrssteuerungs- und Leitsysteme für das Netz der Bundesautobahnen als Kritische Infrastruktur. Im ÖPNV bildet der Wert von 125.000.000 Fahrgästen pro Jahr den KRITIS-Schwellenwert ab.

Änderungen im 1. Korb der BSI-KritisV

Durch die „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ haben ferner auch einige Vorgaben des ursprünglichen 1. Korbes der Rechtsverordnung eine Überarbeitung erfahren. So werden für die einzelnen Sektoren nunmehr detaillierte Definitionen der einzelnen Anlagenkategorien angegeben, um für den Anwender eine bessere Zuordnung zu ermöglichen. Hierdurch orientiert sich der 1. Korb systematisch an den neuen Vorgaben des 2. Korbes. Für den Sektor Ernährung wird festgelegt, dass für die im Anhang genannten Anlagenkategorien grundsätzlich die Begriffsbestimmungen des Lebensmittel-, Bedarfsgegenstände- und Futtermittelgesetzbuches in der jeweils geltenden Fassung anzuwenden sind. Die für die KRITIS-Zuordnung relevanten Schwellenwerte des 1. Korbes bleiben fast ausnahmslos erhalten.

Kürzere Evaluierungsfristen und höhere Rechtsetzungsflexibilität

Abschließend wurde auch die Evaluierungsvorschrift in der BSI-KritisV überarbeitet: Ursprünglich war eine Überprüfung der in der Rechtsverordnung gemachten Angaben vier Jahre nach deren Inkrafttreten vorgesehen. Diese Frist wurde nunmehr auf zwei Jahre verkürzt, zudem erfolgen im Anschluss an diese Initialüberprüfung alle zwei Jahre weitere Evaluationen des Inhalts der Vorschrift. Damit wir dem Bedürfnis nach einer flexiblen Anpassung der Infrastruktursektoren, Anlagenkategorien und Schwellenwerte an die laufende technische und gesellschaftspolitische Entwicklung sowie an die Bedrohungslage für KRITIS Rechnung getragen.