Kritische Infrastrukturen besser zu schützen ist ein erklärtes Ziel der Gesetzgeber, und so wurden mit der für IT-Sicherheit maßgeblichen NIS2- und der Richtlinie über den physischen Schutz kritischer Einheiten (CER) schon vor Jahren zwei wesentliche Überarbeitungen auf den Weg gebracht, die der Gesetzgeber inzwischen auch in nationales Recht überführt hat.
Doch das Nebeneinander von Vorschriften für den physischen Schutz und IT-Sicherheits-Vorgaben sorgt auch gehörig für Verwirrung. Einige der Branchen fielen früher nur unter die NIS-Richtlinie mit ihren damaligen Versorgungsschwellenwerten. Jetzt gilt für sie sowohl das NIS2-Regime, das in Deutschland ins BSI-Gesetz (BSIG) transformiert wurde, als auch das Regime des Kritis-Dachgesetzes (KritisDachG).
Das betrifft etwa die „Kritischen Entitäten“ nach CER, die zugleich auch über die Sektorenregelung des Annex I zur NIS2 reguliert werden. Mit einer Verordnung zum Kritis-Dachgesetz soll das Nebendurcheinander nun in Deutschland beseitigt werden – und klarer geregelt werden, was für wen unter welchen Voraussetzungen gilt – und damit auch: für wen nicht.
„Betreiber kritischer Anlagen“ würden „nach Inkrafttreten dieser Verordnung nur noch durch das KRITISDachG und diese Verordnung bestimmt, und zwar auch im Hinblick auf Verpflichtungen zur IT-Sicherheit nach dem BSIG“, heißt es in dem Referentenentwurf für die neue Kritis-Verordnung („KritisV“) aus dem Bundesinnenministerium. Praktisch soll das bedeuten: Wer dem Dachgesetz für kritische Infrastrukturen unterliegt, muss auch bestimmte NIS2-Teile des BSI-Gesetzes beachten – denn NIS2 betrifft einen viel größeren Kreis an „Verpflichteten“, wenn wohl auch weniger als ursprünglich vorausgesagt.
Rechenaufgabe soll Systemrelevanz abbilden
Die Verordnung soll dafür sorgen, dass klarer abgegrenzt ist, welche Betreiber als kritisch betrachtet werden. Doch das ist vor allem erst einmal Rechenarbeit: Der Referentenentwurf zur KritisV bringt umfangreiche Formelvorschläge zur Berechnung von Schwellenwerten mit. Eigentlich gemeint sind 500.000 Versorgungseinheiten – aber was heißt das konkret? Auch das unterscheidet sich stark.
Während etwa bei Schwarzstartanlagen für die Wiederherstellung des Stromnetzes ein sachlogischer Schwellenwert von 0 Megawatt vorgesehen ist, gelten LNG-Terminals erst ab 5.190 GWh Regasifizierungskapazität als kritische Anlagen – so wie auch Gasspeicher und Fernleitungsnetze, die alle demselben Schwellenwert unterliegen sollen. Fernkälte- und Fernwärmenetze gelten ab 250.000 angeschlossenen Haushalten als kritisch, Klärwerke und Kanalisation ab einer halben Million daran angeschlossener Einwohner. Bei Lebensmitteln gilt hingegen die Marke von 434.500 Tonnen als magische Grenze der Kritikalität.
Ein besonderes Augenmerk liegt derzeit auf dem Sektor Gesundheit. Ab 30.000 vollstationären Versorgungsfällen pro Jahr fallen etwa Krankenhäuser unter die Regularien, damit sind kleine Häuser außen vor. Hersteller wichtiger Medizinprodukte sollen ab 90,68 Millionen Euro Jahresumsatz kritisch sein. Für die Arzneimittelversorgung gilt vor allem der Wert von 4,65 Millionen Packungen verschreibungspflichtiger Medikamente. Ein Anbieter wie das gerade erst in die Schlagzeilen geratene Unimed etwa fällt selbst nicht unter die Schwellenwerte der geplanten Kritis-Verordnung – allerdings viele seiner Kunden.
Seekabelanlandestationen inklusive
Wer hingegen eine Seekabelanlandestation betreibt, unterfällt bereits ab dem ersten Kabel den Vorschriften, Internetaustauschpunkte (IXP) erst ab 100 verbundenen Autonomen Systemen (AS) im Jahresschnitt. Für Topleveldomain-Registries wie Denic für die .de oder Dotberlin, dotKoeln oder auch Schwarz Domains soll das Regelwerk erst ab 250.000 Domains gelten, für Content Delivery Networks ab 75 Petabyte ausgelieferten Daten jährlich.
Auch weltraumrelevante Einrichtungen werden nun erfasst – Bodenstationen und Antennenanlagen werden dabei dann erfasst, wenn sie für die Allgemeinheit relevant sind. Die „Versorgung der Allgemeinheit mit Erdbeobachtungsdiensten“ müsse wegen Wettervorhersagen, Klimawandelbeobachtung und Infrastrukturmonitoring sowie „weiterer Anwendungen“ als kritische Dienstleistung eingestuft werden, heißt es in dem Entwurf.
Auch die Fähigkeit, Satelliten in den Weltraum zu bringen, sei kritisch – genau wie Daten für geodätische Beobachtungs- und Auswerteverfahren, die wiederum für Positionen, Navigation und Zeitmessungsdienste (PNT) maßgeblich wären. Über Dual-Use-Nutzungen verliert die Verordnung jedoch kein Wort.
Der nun vorliegende Entwurf ist noch Gegenstand intensiver Diskussionen, insbesondere bei sich schnell ändernden Realitäten wie bei Rechenzentren oder CDNs dürften die jetzt vorgesehenen Werte nur Momentaufnahmen bleiben. Dass die Systematik aus vorher definierten Aufgaben und Schwellenwerten ihre Probleme mit sich bringt, allerdings bereits auf Ebene der systematischen Inkohärenz zwischen CER- und NIS2-Richtlinie angelegt ist, sorgt bei einigen der Zuständigen für Stirnrunzeln. Die Kritis-Verordnung soll noch vor der Sommerpause finalisiert werden.
(wpl)
English (US) ·