Fortentwicklung der Anforderungen an kritische Infrastrukturen im Nachgang zur Corona-Pandemie

Zusammenfassung

 
Überblick

Seit der Corona-Pandemie ist die Eigenschaft "systemkritisch" eine Art Ritterschlag für Unternehmen. Andererseits sind damit auch besondere Anforderungen an deren Funktionsfähigkeit, inkl. zusätzlicher Nachweispflichten und Kontrollrechte verbunden. Der Beitrag beschreibt die Situation vor dem Hintergrund der Corona-Pandemie am Beispiel von Finanzsektor und Gesundheitswesen und gibt einen Überblick über relevante Dokumente zur Einhaltung der Vorgaben.

 

1 Einführung: Gesundheitswesen und Finanzsektor als Beispiele für kritische Infrastruktur

Die Sektoren Finanz- und Versicherungswesen sowie Gesundheit gehören zu den kritischen Infrastrukturen (Kritis), die im Zuge der Corona-Pandemie besonderen Status erlangt haben. In der breiten Öffentlichkeit wenig bekannt ist, dass "kritische Infrastrukturen" rechtlich genau definiert sind im "BSI-Gesetz" sowie der sog. BSI-Kritis-Verordnung (BSI-KritisV). Neben der generellen Versorgungssicherheit spielt bei der Aufnahme eines Sektors in die aktuell 7 Sektoren umfassende Liste v.a. die Exponiertheit gegenüber IT-Risiken und die Zeitkritikalität der jeweiligen Leistungen des Sektors eine Rolle.

 
Praxis-Beispiel

Was sind Betreiber kritischer Infrastruktur?

Gemäß Corona-Verordnung des Landes Baden-Württemberg (CoronaVO BW) werden Beschäftigte in "Bereichen der kritischen Infrastruktur" bei der Kinderbetreuung im Sinne der Berechtigung zur Nutzung einer Notbetreuung bevorzugt behandelt. Als kritische Infrastruktur gemäß CoronaVO BW gelten dabei die Kritis-Sektoren gemäß BSI-KritisV, die gesamte Infrastruktur zur medizinischen und pflegerischen Versorgung inkl. Unterstützungsbereiche, Wohnungslosenhilfe, psychiatrische Einrichtungen und Suchtberatungsstellen, Regierung/Verwaltung/Parlament/Justiz und "notwendige Einrichtungen der öffentlichen Daseinsvorsorge", Polizei/Feuerwehr sowie Rundfunk/Presse und Verkehrsbetriebe.[1]

Neben den genannten Sektoren sind dabei gem. § 2 (10) BSIG auch die Energie, Informationstechnik und Telekommunikation, Wasser, Transport und Verkehr sowie Ernährung systemrelevant. Genauer gesagt, sind gem. BSI-KRITIS-Verordnung Unternehmen in den genannten Sektoren Betreiber kritischer Infrastrukturen, sofern ihre Leistungen jeweils mindestens 500.000 Personen versorgen.

Betreiber kritischer Infrastruktur fallen in den Aufgabenbereich des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Mit dem im Jahr 2004 gegründeten Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) wurde zudem eine weitere staatliche Stelle geschaffen, die zum Schutz kritischer Infrastrukturen über IT-Belange hinaus beiträgt. Im Gegensatz zu der Definition der kritischen Infrastruktur in den Corona-Schutzmaßnahmen sind gem. BSI-Gesetz / BSI-KritisV nicht nur sehr ausgewählte Sektoren, sondern auch nur Unternehmen mit einer Mindestgröße in den jeweiligen Kritis-Sektoren festgelegt. Kleinteilig organisierte Bereiche wie Hausärzte, Metzgereien, Spargelproduzenten und andere Landwirtschaftsbetriebe unterliegen demnach bisher keinerlei Vorgaben hinsichtlich der Aufrechterhaltung ihrer Geschäftstätigkeit im Krisenfall, obwohl sie in ihrer Gesamtheit ebenfalls zur Versorgungssicherheit der Bevölkerung beitragen.

Unter anderem aufgrund einiger in die Öffentlichkeit gelangter Hacker-Angriffe sind die Kritis-Sektoren Finanz- und Versicherungswesen sowie Gesundheit besonders prominent im Fokus der Diskussion um die IT-Sicherheit. Entscheidender Unterschied zwischen den beiden Sektoren ist allerdings, dass der Finanzsektor einer viel stärkeren Regulierung und Prüfungsdichte im Bereich IT-Sicherheit gegenüber dem Gesundheitssektor ausgesetzt ist. Im Folgenden geben wir einen Kurzüberblick, wie die Unternehmen in den beiden Sektoren ähnlichen Herausforderungen ausgesetzt sind und vergleichbare Lösungsansätze erfolgsversprechend sind.

[1] § 1b Abs. 8 CoronaVO BW in der Fassung vom 15. Juni 2020,

https://www.baden-wuerttemberg.de/de/service/aktuelle-infos-zu-corona/aktuelle-corona-verordnung-des-landes-baden-wuerttemberg/, Abrufdatum 22.6.2020.

2 Vorgaben im BSI-Gesetz an Betreiber kritischer Infrastrukturen und BSI-Befugnisse

Das BSI-Gesetz gibt schon seit 2009 die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor, die ursprünglich v.a. in der Stärkung der IT-Sicherheit der Bundesbehörden und sonstiger Einrichtungen des Bundes lagen. Mit dem IT-Sicherheitsgesetz wurden im Jahr 2015 erstmals kritische Infrastrukturen und diesbezügliche Aufgaben des BSI definiert und seitdem fortentwickelt.[1] Das BSI-Gesetz (BSIG) enthält seitdem auch die Pflichten der Kritis-Betreiber. Gem. §8a des geltenden BSIG müssen Betreiber kritischer Infrastrukturen die Einhaltung der IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen. Zudem dient das BSI nach § 8b BSIG als zentrale Meldestelle für die IT-Sicherheit kritischer Infrastrukturen. Kritis-Betreiber müssen dem BSI erhe...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge