Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022
Die neue KRITIS-Verordnung weitet den Kreis der Betreiber aus und bezieht auch Erfahrungen aus der Pandemie ein. Das Zustandekommen ist jedoch intransparent.
(Bild: Gorodenkoff/Shutterstock.com)
- Manuel Atug
Die "Zweite Verordnung zur Änderung der BSI-Kritisverordnung" tritt am 01.01.2022 in Kraft. Diese Fassung enthält keine Erweiterungen oder Anpassungen auf das IT-Sicherheitsgesetz 2.0 – wie zum Beispiel den neuen Sektor Siedlungsabfallentsorgung oder die "Unternehmen im Besonderen öffentlichen Interesse", die auch als eine Art "KRITIS light" betrachtet werden können –, sondern stellt im Wesentlichen das Ergebnis der Evaluierung der bereits seit 2016 existierenden "Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz" (kurz: BSI-Kritisverordnung) dar.
Diese Evaluierung wurde in § 9 "Zwei Jahre nach Inkrafttreten und danach alle zwei Jahre" vorgegeben. Das Bundesministerium des Innern kommt also mit über einem Jahr Verspätung mit der Umsetzung dieser Evaluierung um die Ecke. Kritische Infrastrukturen stehen offenbar nicht an höherer Stelle auf der Agenda.
Zahl der Betreiber ausgeweitet – ohne Mehrkosten?
Auf den ersten Blick stellt man schnell fest, dass zu den bestehenden ca. 1.600 KRITIS-Betreibern weitere 252 dazu kommen sollen. Davon alleine über 100 Stromerzeuger und über 70 KRITIS-Betreiber im Sektor Transport und Verkehr. Für die Wirtschaft sollen aber keine weiteren Kosten entstehen, da durch diese Änderungsverordnung keine Ausweitung der damaligen im IT-Sicherheitsgesetz angegebenen Anzahl von KRITIS-Betreibern vorgenommen wird – ein kleiner Trick mit großer Auswirkung. Wie teuer die Umsetzung wird, weiß daher keiner.
Was die Evaluierung angeht, wurde diese selbst leider vom BMI nicht veröffentlicht, nicht einmal in Teilen. So bleibt intransparent, wer nach welchem Umfang und welcher Methodik evaluiert hat und was die Ergebnisse sind. Den Nachweis der Unabhängigkeit oder der Expertise der Evaluierenden bleibt das BMI ebenfalls schuldig. Überlegt man sich allerdings, welchen Cyber-Bedrohungslagen – wie Cyberspionage oder Ransomware – die KRITIS-Betreiber ausgesetzt sind, erscheint diese Evaluierung leider nur im Lichte der Unvollständigkeit, Halbherzigkeit, Intransparenz und der Geheimniskrämerei, aber nicht dem Ziel der Erhöhung des Schutzes der Funktionsfähigkeit kritischer Infrastrukturen.
Konkretere Bestimmungen der Pflichten
Offensichtliche Fragestellungen wie Auswirkungen durch sektorübergreifende KRITIS-Betreiber oder auch der pauschale Regelschwellenwert von 500.000 Personen wurden im Wesentlichen nicht analysiert. Dafür wurden einige allgemeine Änderungen vorgenommen, etwa explizit "Software und IT-Dienste (definiert), die für die Erbringung einer kritischen Dienstleistung notwendig sind". Diese waren aber auch vorher schon verbindlich zu berücksichtigen.
Konkretisiert wurde auch die Definition von mehreren Anlagen, die eng miteinander verbunden sind und somit als gemeinsame Anlage gelten. Sofern mehrere KRITIS-Betreiber gemeinsam eine Anlage betreiben, ist jeder für die Erfüllung der Pflichten als Betreiber verantwortlich und kann sich somit nicht aus der Verantwortung stehlen.