Zur Navigation springen Zum Inhalt springen Zum Footer springen

IT-Sicherheitsgesetz: Definition der "Kritischen Infrastrukturen"

Rechtstipp vom 16.06.2015
(3)

Mit dem IT-Sicherheitsgesetz wird zum ersten Mal der Begriff der „Kritischen Infrastrukturen” gesetzlich definiert. Bisher fand sich in den Gesetzesvorschriften in Deutschland keine Begriffsbestimmung. Die Definition des Begriffs der „Kritischen Infrastruktur” ist notwendig, um unter anderem den Adressatenkreis der neu geltenden § 8a und § 8b des BSI-Gesetzes festzulegen.

Der Gesetzgeber verweist in seiner Definition auf Einrichtungen, Anlagen oder Teile davon. Die Kritischen Infrastrukturen beschränken sich auf bestimmte Sektoren. Zu diesen Sektoren gehören die Bereiche Energie, Informationstechnik, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Doch nicht nur die bloße Zugehörigkeit zu einem der Sektoren führt für Einrichtungen und Anlagen dazu, dass sie der Definition einer „Kritischen Infrastruktur” unterzuordnen sind, sondern es kommt eine zweite Voraussetzung hinzu. Der Gesetzgeber verlangt, dass die Einrichtungen, Anlagen oder Teile davon von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. In der Gesetzesbegründung wird darauf verwiesen, dass beispielsweise die entsprechenden Einrichtungen für die Sicherung der Grundbedürfnisse der Bevölkerung von hoher Bedeutung sein müssen und deshalb besonders schutzwürdig sind. Eine ähnliche Formulierung hat der Gesetzgeber in seiner Definition mit aufgenommen. Es wird darauf verwiesen, dass ein Ausfall oder eine Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdung für die öffentliche Sicherheit nach sich ziehen müssen.

Diese Definition ist zunächst einmal anzuwenden, auch wenn bereits im Vorfeld des Gesetzesvorhabens immer wieder darauf verwiesen wurde, dass die gesetzliche Definition unzureichend sei. Es gab eine Diskussion unter anderem um die Frage, ob eine solche Definition über unbestimmte Rechtsbegriffe letztendlich verfassungsgemäß ist. In der Anhörung der Sachverständigen vor dem Innenausschuss des Bundestages wurde aber deutlich, dass in anderen Rechtsbereichen, beispielsweise im Emissionsgesetz, auch mit unbestimmten Rechtsbegriffen gearbeitet wird, ohne dass dies gleich an der Verfassungsgemäßheit des Gesetzes rüttelt.

Die „Kritischen Infrastrukturen” sind also mit dem Erlass des IT-Sicherheitsgesetzes zunächst einmal ausreichend definiert. Der Gesetzgeber gibt dann noch einen Blick in die Zukunft und verweist darauf, dass Kritische Infrastrukturen im Sinne des BSI-Gesetzes durch eine Rechtsverordnung nach § 10 Abs. 1 BSI-Gesetz näher bestimmt werden. Die entsprechenden gesetzgeberischen Arbeiten sind vollem Gange.

In der Drucksache 18/4096 des Deutschen Bundestages wird dann auf S. 24 darauf hingewiesen, dass nicht zu den vom BSI-Gesetz adressierten „Kritischen Infrastrukturen” die Verwaltung von Regierung und Parlament sowie die öffentliche Bundesverwaltung gehört. Hier wird auf die bisherigen Spezialregelungen, unter anderem in den §§ 4, 5 und 8 des BSI-Gesetzes verwiesen. Für die Verwaltungen der Länder und Kommunen hat der Bund keine Gesetzgebungskompetenz. Dies gilt auch für die Bereiche Kultur und Medien.

Nach den bisherigen Regelungen unter anderem in § 4 BSIG sind zumindest die Bundesbehörden verpflichtet, Meldungen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abzugeben. In § 4 Abs. 3 heißt es, dass das Bundesamt unverzüglich informiert wird, wenn Informationen über Gefahren für die Sicherheit in der Informationstechnik bei den Bundesbehörden bekannt werden. Diese Meldepflicht ist aber weniger umfangreich, als die Meldepflicht, die nunmehr den Unternehmen durch das IT-Sicherheitsgesetz auferlegt wird. Dies war auch in dem Gesetzgebungsverfahren ein heftiger Kritikpunkt. In § 5 BSIG ist festgelegt, dass das BSI zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten auswerten darf sowie auf weitere Daten zugreifen kann. Hier liegt aber die Ausgangsaktivität beim BSI. Gleiches gilt auch für § 8. Danach kann das Bundesamt Mindeststandards für die Sicherung der Informationstechnik des Bundes festlegen. Auch hier geht die Aktivität wieder vom Bundesamt aus.

Insoweit ist auch nach der aktuellen Gesetzeslage die Meldepflicht der Bundesverwaltung gegenüber dem Bundesamt nur wenig ausgeprägt.

Die Zweiteilung im Hinblick auf die Meldepflichten zwischen der öffentlichen Verwaltung und den Unternehmen ist in Anbetracht der aktuellen Hackerangriffe aber nicht mehr zu rechtfertigen.


Rechtstipp aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Thomas Feil (Feil Rechtsanwaltsgesellschaft mbH)

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.