Die Rechtsverordnung Kritische Infrastrukturen wurde kürzlich vom Bundesministerium des Innern (BMI) als Entwurf zur Stellungnahme an die Länder und Verbände übermittelt und kann unter dem nachfolgenden Link abgerufen werden:
Von der Rechtsverordnung kritische Infrastrukturen betroffene Branchen
Betroffen von der Rechtsverordnung kritische Infrastrukturen sind die folgenden Branchen bzw. Sektoren:
- Energie
- Informationstechnik und Telekommunikation
- Ernährung
- Wasser
In dem veröffentlichten Entwurf der Rechtsverordnung Kritische Infrastrukturen des BMI wurden erstmals Schwellwerte für die relevanten Anlagenkategorien der Sektoren (Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung) definiert, nach denen die Betreiber kritischer Infrastrukturen in den genannten Sektoren bestimmt werden können.
Es wird geschätzt, dass insgesamt 2.000 Unternehmen zu den eigentlichen Unternehmen mit kritischer Infrastruktur gehören.
IT-Sicherheitskatalog der BNetzA muss von den Netzbetreibern zusätzlich beachtet werden
Für die Strom- und Gasnetzbetreiber gilt jedoch nach wie vor das Energiewirtschaftsgesetz. Hier wurde im § 11 Abs. 1a festgelegt, dass diese den von der Bundesnetzagentur veröffentlichten IT-Sicherheitskatalog beachten und umsetzen müssen. In dem Entwurf der Rechtsverordnung Kritische Infrastrukturen wird im Wesentlichen nur bestimmt, wer die Meldepflichten gegenüber dem BSI zu beachten hat.
Daher bleibt erst einmal alles beim Alten und die Netzbetreiber müssen den IT-Sicherheitskatalog der Bundesnetzagentur umsetzen und bis zum 31. Januar 2018 in Form einer ISO/IEC 27001 Zertifizierung nachweisen.
Die Einführung eines Information Security Management Systems (ISMS) sollte nicht unterschätzt werden. Neben der Erstellung von umfangreichen Dokumentationsunterlagen ist der Aufwand für die Erstellung des geforderten Netzstrukturplans und dessen Abgrenzung sowie die Risikobehandlung nicht zu unterschätzen und sollte frühestmöglich in Angriff genommen werden.