Würde die Funktionsfähigkeit wichtiger Versorgungseinrichtungen beeinträchtigt, kann dies potentiell katastrophale Folgen zeitigen. Deshalb ist der Schutz sog. „Kritischer Infrastrukturen“ von besonderer sicherheitspolitischer Bedeutung. Gegen die Bedrohung durch Cyberangriffe richtet sich das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Dieses legt den Betreibern bedeutsamer Infrastrukturen zur Abwehr digitaler Angriffe und der Schadensminimierung im Notfall besondere Pflichten auf. Wer dem Adressatenkreis der Regelungen unterfallen soll, wurde durch das Gesetz nur höchst abstrakt bestimmt. Genauer definiert wird dies durch die am 3. Mai 2016 in Kraft getretene Verordnung zur Bestimmung “Kritischer Infrastrukturen“. Diese Verordnung wurde am 31.05.2017 um Regelungen für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr abschließend erweitert, die nach der anstehenden Verkündung demnächst in Kraft treten soll.

Das IT-Sicherheitsgesetz

Betreibern „Kritischer Infrastrukturen“ werden durch das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz – insbesondere durch Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik – besondere Pflichten auferlegt: Sie müssen hinreichende Sicherheitsstandards wahren, indem sie ihre IT nach dem Stand der Technik angemessen absichern. Außerdem bestehen nach dem Gesetz spezifische Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). So haben Betreiber von Anlagen mit hoher Bedeutung für das Funktionieren des Gemeinwesens künftig nicht nur potentiell folgenreiche Angriffe an das BSI zu melden, sondern diesem gegenüber auch regelmäßig über die eigene IT-Sicherheit Rechenschaft abzulegen.

Für das vorsätzliche oder fahrlässige Verfehlen solcher Anforderungen werden Geldbußen bis zu 50.000 Euro angedroht; in bestimmten Fällen eines Widersetzens gegen vollziehbare Anordnungen kommen sogar Geldbußen bis zu 100.000 Euro in Betracht. Für die verantwortlichen Führungskräfte betroffener Unternehmen ergeben sich damit konkrete persönliche Haftungsrisiken aus dem IT-Sicherheitsgesetz.
Welche Einrichtungen dem Kreis der besonders bedeutsamen Infrastrukturen im Sinne des Gesetzes unterfallen, bestimmt dieses selbst nur vage. Betroffen sollen all die Betreiber sein, deren Anlagen in den Bereichen Energie, Ernährung, Gesundheit, Informationstechnik, Telekommunikation, Transport, Verkehr, Wasser oder dem Finanz- und Versicherungswesen betrieben werden und deren Funktionsfähigkeit von „besonderer Bedeutung für das Gemeinwesen“ sind. Da sich auf Basis dieser Definition erhebliche Unsicherheiten ergeben, hat das Gesetz dem Verordnungsgeber die Aufgabe überlassen, „Kritische Infrastrukturen“ näher zu bestimmen.

Die Bestimmung der „Kritischen Infrastrukturen“ ist nun abgeschlossen.

Von dieser Ermächtigung hat der Bundesinnenminister mit der Verordnung zur Bestimmung „Kritischer Infrastrukturen“ (BSI-KritisV) in der Fassung vom 3. Mai 2016 zunächst für die Sektoren Energie, Ernährung, Informationstechnik und Telekommunikation sowie Wasser Gebrauch gemacht. Mit der am 31. Mai 2017 verabschiedeten Änderungsverordnung, die noch im Juni 2017 in Kraft treten soll, werden nun auch die bisher nicht adressierten Bereiche Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr ausdifferenziert. Damit liegen für sämtliche als kritisch betrachteten Bereiche nunmehr messbare und nachvollziehbare Kriterien vor, anhand derer eine Einordnung einzelner Betreiber nach dem IT-Sicherheitsgesetz erfolgen kann. Entsprechend der in der Verordnung festgesetzten Schwellenwerte fallen keinesfalls nur Branchenriesen unter den Begriff der „Kritischen Infrastruktur“. Die neuen Regelungen sind vielmehr bereits insbesondere bei größeren Unternehmen der Energiewirtschaft, IT-Industrie, Lebensmittelindustrie, des Gesundheitswesens  sowie bei einer größeren Anzahl von Banken und Versicherungen einschlägig.

Folgen des Inkrafttretens der Verordnung(en)

Mit dem Inkrafttreten der Verordnung beziehungsweise der Änderungsverordnung zur Bestimmung „Kritischer Infrastrukturen“ beginnt für die angesprochenen Unternehmen eine zweijährige Frist zur Umsetzung der scharfen Anforderungen des IT-Sicherheitsgesetzes. Eine Übergangsfrist entfällt ausweislich des Gesetzes allein für Energieversorger und Anbieter von Telekommunikations- und Telemediendiensten. Unabhängig von der Gewährung einer Übergangsfrist stellt sich in jedem Fall die Frage, wie das mit dem IT-Sicherheitsgesetz eingeführte Leitbild mit den im Unternehmen gewachsenen Sicherheitsstrukturen in Einklang zu bringen ist. Hierbei wird bereits jetzt deutlich, dass die gesetzeskonforme Umsetzung des IT-Sicherheitsgesetzes für die Betroffenen Unternehmen zum Teil erhebliche Herausforderungen in der Praxis begegnet.

Stefan Menzemer, Rechtsanwalt und Wirtschaftsmediator, Christian Kusulis, Rechtsanwalt, beide Frankfurt am Main