Kritis-Verordnung
Neue Regeln für kritische Infrastrukturen
Mit neuen Schwellenwerten wurden weitere Betreiber Kritischer Infrastrukturen (Kritis) identifiziert, die bestimmte technische und organisatorische Vorkehrungen zur Absicherung ihrer informationstechnischen Systeme treffen und erhebliche Störungen an das BSI melden müssen. Die betroffenen Betreiber müssen sich bis April 2022 beim BSI anmelden.
Im Frühjahr hat das Bundesinnenministerium einen Referentenentwurf vorgelegt, den auch der DIHK kommentiert hat. Die vom Bundeskabinett verabschiedete Verordnung enthält noch einige Änderungen. Diese betreffen den Umfang der Adressaten sowie Änderungen im Begriff der „Anlage“.
Es gibt formale Änderungen, die den räumlichen und betrieblichen Zusammenhang von Kritischen Infrastrukturen deutlicher machen sollen. Mehrere Anlagen seien nur dann als eine gemeinsame Anlage zu betrachten, wenn sie zur Erbringung ein und derselben kritischen Dienstleistung verwendet würden. Eine betriebsbedingte Störung bei gemeinsamen Anlagen liege dann vor, wenn der Ausfall einer Anlage den Betrieb der anderen Anlagen stören könnte.
Mehrere Menschen, die gemeinsam eine Anlage betrieben, seien auch gemeinsam für die Erfüllung der gesetzlichen Vorgaben verantwortlich. Das Outsourcing von bestimmten untergeordneten Tätigkeiten wie beispielsweise beim Gebäudemanagement sei von dieser Regelung allerdings nicht erfasst. Bei einer Übergabe der Anlage übernehme der neue Betreiber die Pflichten, ohne dass es dafür einer Deregistrierung der Anlage bedarf.
Im Bereich Energie wurden neue Anlagenkategorien eingeführt, unter anderem das „Gashandelssystem“. Auch die Definitionsänderung des Internet Exchange Points (IXP) wurde im Vergleich zum Kabinettsentwurf präzisiert.