Was sind kritische Infrastrukturen nach §8a BSIG ?

Veröffentlicht in: Internal Audit | 0
https://pixabay.com/de/photos/telefon-telegraph-pol-draht-1822040/

Nun ehrlich gesagt bei allen Verordnungen und Gesetzen, die im Arbeitsalltag auf uns einprasseln ist es wirklich schwierig genau zu wissen, was gilt jetzt eigentlich für mich und mein Unternehmen.

Wir befinden uns im Zeitalter der Regulatorik, bei dem alles und jedes in seine Schranken verwiesen werden muss. Die EU hat es sich somit mal wieder nicht nehmen lassen eine EU-Richtlinie (2008/114/EG) herauszugeben. Inhalt ist die „Ermittlung und Ausweisung von kritischen Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern.“

Die Richtlinie finden Sie hier in deutscher Sprache: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:DE:PDF

Die Bundesrepublik hat diese Richtlinie mit der BSI-KritisV der Kritis Verordnung umgesetzt.

Aber was genau sind den nun kritische Infrastrukturen?

Kritische Infrastrukturen sind Anlagen, Systeme, oder auch nur ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten.

Im Rahmen der Kritis Verordnung wurden für Deutschland insgesamt sieben Sektoren gegliedert, welche kritische Infrastrukturen vorhalten:

  1. Energie: Elektrizität, Gas, Mineralöl (§ 2 BSI-KritisV)
  2. Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung (§ 3 BSI-KritisV)
  3. Ernährung: Ernährungswirtschaft, Lebensmittelhandel (§ 4 BSI-KritisV)
  4. Informationstechnik und Telekommunikation (§ 5 BSI-KritisV)
  5. Gesundheit: Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore (§ 6 BSI-KritisV)
  6. Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister (§ 7 BSI-KritisV)
  7. Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik (§ 8 BSI-KritisV)

Es gibt zwei weitere Sektoren, die aber aufgrund anderer geltender Gesetze hinsichtlich KRITIS abgedeckt sind und somit nicht durch die KRITIS Verordnung geregelt sind.

  1. Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz
  2. Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke

Für jedes Unternehmen der genannten Branchen bestehen sogenannte Schwellwerte, welche das Unternehmen überschreiten muss, um als Betreiber einer kritischen Infrastruktur zu gelten. Sollten Sie als Unternehmen diese Schwellwerte überschreiten, sind sie als Betreiber einer kritischen Infrastruktur dazu verpflichtet, Prüfungen über ihre kritische Infrastruktur durchzuführen und die Funktionsfähigkeit der kritischen Anlagen zu bewerten.

Sollten Sie nicht wissen, ob Sie die Schwellwerte überschritten haben, helfe ich Ihnen gerne weiter, um entsprechend zu prüfen, ob sie unter die Kritis Verordnung fallen.

Der wesentliche Bestandteil der gesetzlichen Regelung zu kritischen Infrastrukturen beinhaltet die Aufforderung an Betreiber, spätestens alle zwei Jahre zu prüfen, ob angemessene organisatorische und technische Maßnahmen im Unternehmen getroffen wurden, ein aktueller Stand der Technik verwendet wird, um Störungen der IT zu vermeiden.

Dabei spielt es in dem Falle der KritisV keine Rolle, ob diese Maßnahmen wirtschaftlich angemessen sind, sondern lediglich, dass die Maßnahmen ausreichend sind, Störungen zu vermeiden.

Wichtig ist im Rahmen der KritisV zu beachten, dass es hierbei nicht um finanzielle Themen geht, sondern ausschließlich um die Versorgung der Bevölkerung. Dies führt auch dazu, dass ggf. Maßnahmen getroffen werden müssen, die wirtschaftlich nicht unbedingt vorteilhaft sind, aber für den Schutz der kritischen Infrastrukturen wesentlich ist.

Aufgrund mehrerer Projekte in der Vergangenheit helfe ich gerne bei der Evaluierung, ob sie zum einen Betreiber einer kritischen Infrastruktur sind und zum anderen, die verpflichtende Prüfung durchzuführen.