Die Zweite Verordnung zur Änderung der BSI-Kritisverordnung ist, nachdem sie im August vom Bundeskabinett beschlossen wurde, am 14. September 2021 im Bundegesetzblatt veröffentlicht worden. Die Verordnung tritt am 01.01.2022 in Kraft.

Die BSI-KritisVO konkretisiert das IT-Sicherheitsgesetz 2.0, dass bereits am 28.05.2021 in Kraft getreten ist und an das IT-Sicherheitsgesetz 1.0 aus dem Jahr 2015 anknüpft.

Hintergrund: IT-Sicherheitsgesetz 2.0

Mit dem IT-Sicherheitsgesetz 2.0 soll die Sicherheit von IT-Systemen in Deutschland weiter gestärkt werden, um den zunehmenden komplexen Cyberattacken und der fortschreitenden Digitalisierung in nahezu allen Lebensbereichen zu begegnen. U.a. soll die IT-Sicherheit sog. Kritischer Infrastrukturen weiter verbessert werden. Dabei handelt es sich um Anlagen oder Anlagenteile, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben und den folgenden Sektoren angehören: Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen und neuerdings auch Siedungsabfallsentsorgung. Betreibern solcher Kritischer Infrastrukturen sowie neuerdings „Unternehmen im besonderen öffentlichen Interesse“ werden dafür u.a. Registrierungs- und Meldepflichten auferlegt sowie die Pflicht, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen.

Was unter einer Anlage zu verstehen ist und ab welchen Schwellenwerten diese als Kritische Infrastruktur gilt, wie die vorgenannten Sektoren zu verstehen sind und wer als Betreiber der Anlage gilt (und damit Adressat der Pflichten nach dem BSIG ist), regelt die KritisVO. So gilt beispielsweise eine Gasförderanlage als kritische Infrastruktur, wenn die Energie des geförderten Gases 5190 in GWh/Jahr beträgt.

Neuerungen durch KritisVO 2.0

Durch die neue KritisVO sind nunmehr einige Schwellenwerte angepasst und korrigiert worden und einzelne Anlagen ergänzt oder angepasst worden. Durch diese Änderungen wird der Adressatenkreis der betroffenen Unternehmen voraussichtlich – jedenfalls in einigen Bereichen – erweitert. Leider hat es der Verordnungsgeber versäumt, mit der Zweiten Verordnung unklare Begriffe zu konkretisieren. Insbesondere der relevante Anlagenbegriff (in Abgrenzung Nebeneinrichtungen, Gemeinsamen Anlagen etc.) sowie der Betreiberbegriff bleiben sehr weit gefasst und vage. Auch Fragen zu international eingesetzten Anlagen bleiben offen. Dementsprechend reagierten auch einige Verbände mit kritischen Stellungnahmen zum Verordnungsentwurf (z.B. Bitkom e.V.; BDEW e.V.) Im Ergebnis verbleibt hier eine nicht unerhebliche Rechtsunsicherheit für die betroffenen Unternehmen.