Gesetzliche Grundlagen für Betreiber kritischer Infrastrukturen

Die Vorschriften zu Sicherheitsvorkehrungen gem. § 8a Abs. 1 BSIG und Meldepflichten gem. § 8b Abs. 4 BSIG gelten nur für die Betreiber kritischer Infrastrukturen. Wen diese Pflichten treffen, ist in zwei Schritten zu bestimmen. Erstens muss eine kritische Infrastruktur vorliegen. Liegt eine solche vor, stellt sich im zweiten Schritt die Frage, wer diese betreibt.

I. Kritische Infrastruktur

§ 2 Abs. 10 S. 1 BSIG enthält eine Definition der kritischen Infrastrukturen. Danach sind kritische Infrastrukturen

„Einrichtungen, Anlagen oder Teile davon, die

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“

Eine kritische Infrastruktur liegt damit nur vor, wenn zwei Voraussetzungen zusammentreffen. Zum einen muss die Einrichtung oder Anlage einem der genannten Sektoren angehören. Zum anderen muss die Einrichtung oder Anlage von hoher Bedeutung für das Funktionieren des Gemeinwesens sein.1König/Popescu-Zeletin/Schliesky, IT und Internet als kritische Infrastruktur, 2014, S. 8 f. Wann genau das der Fall ist, konkretisiert gem. § 2 Abs. 10 S. 2 BSIG eine Rechtsverordnung, die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritisverordnung – BSI-KritisV).

Das Bundesministerium für Inneres hat den ersten Teil der Verordnung mittlerweile erlassen. Er gilt seit dem 3. Mai 2016.  Dieser erste Teil betrifft die Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung. Der zweite Teil der Verordnung für die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit soll Anfang 2017 erlassen werden.  Wer eine kritische Infrastruktur betreibt, sieht die Verordnung verbindlich vor, die Merkmale des § 2 Abs. 10 S. 1 BSIG müssen nicht im Einzelfall überprüft werden.2Eckhardt, ZD 2014, 599, 600.

Die Verordnung sieht zwei Kriterien vor, um eine kritische Infrastruktur festzulegen: ein qualitatives und ein quantitatives. Das erste (qualitative) Kriterium ist die Bedeutung der Dienstleistung, die mit den Einrichtungen und Anlagen im Sektor erbracht wird. § 1 Nr. 3 der Verordnung definiert den Begriff der kritischen Dienstleistung als eine Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren nach den §§ 2 bis 5, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde.

Das zweite (quantitative) Kriterium ist der Versorgungsgrad, der gem. § 10 Abs. 1 S. 2 BSIG anhand von branchenspezifischen Schwellenwerten für den jeweiligen Sektor zu bestimmen ist. Gem. § 1 Nr. 4 der Verordnung ist der Versorgungsgrad ein Wert, mittels dessen der Beitrag einer Anlage oder Teilen davon im jeweiligen Sektor zur Versorgung der Allgemeinheit mit einer kritischen Dienstleistung bestimmt wird. Dieses Kriterium nimmt die Folgen eines Ausfalls oder einer Beeinträchtigung in den Blick.3Terhaag, IT-Sicherheitsgesetz, 2015, S. 59; Ortner/Daubenbüchel, NJW 2016, 2918, 2921. Für die einzelnen Anlagenkategorien in den jeweiligen Sektoren sind in der Verordnung zuletzt Anhänge vorgesehen, die konkrete Schwellenwerte enthalten. Der Regelschwellenwert liegt bei 500.000 versorgten Menschen, auf die sich ein Ausfall auswirken würde.4https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/FAQ/faq_it_sig_node.html (abgerufen am 13.10.2016). Er dient jedoch nur zur Orientierung und trifft allein keine Aussage darüber, ob die Anlage eine kritische Infrastruktur darstellt.5https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/FAQ_BSI-KritisV/faq_bsi_kritisv_node.html (abgerufen am 31.10.2016). Der Begriff der Anlage richtet sich nach § 2 Nr. 1 der Verordnung und meint Betriebsstätten und sonstige ortsfeste Einrichtungen bzw. Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen, die für die Erbringung einer kritischen Dienstleistung notwendig sind.

Zusammengefasst verlangt das Vorliegen einer kritischen Infrastruktur damit Folgendes: Erstens muss die Anlage oder Einrichtung unter einen der genannten Sektoren fallen. Doch nicht jede Dienstleistung in einem der genannten Sektoren ist für die Allgemeinheit insgesamt erheblich. Daher muss der Betreiber zweitens mit der Anlage oder Einrichtung eine kritische Dienstleistung erbringen, das heißt ein Ausfall oder eine Beeinträchtigung muss zu erheblichen Versorgungsengpässen für die Allgemeinheit führen. Ob der Ausfall oder die Beeinträchtigung dazu führt, bestimmt sich drittens nach dem Versorgungsgrad der Anlage oder der Einrichtung, das heißt der Anzahl der durch die Anlage oder Einrichtung versorgten Menschen.

II. Betreiber

Steht fest, dass eine Anlage oder Einrichtung Teil einer kritischen Infrastruktur ist, stellt sich die Frage, wer sie betreibt. § 2 Nr. 2 der Verordnung definiert den Begriff des Betreibers als

„eine natürliche oder juristische Person, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt“.

Diese Definition orientiert sich am Begriff des Betreibers im Umweltrecht.6Roos, MMR 2014, 723, 725. Dort hat die Rechtsprechung die in § 2 Nr. 2 der Verordnung aufgenommene Definition für den Begriff des Betreibers entwickelt, beispielsweise in § 4 BImSchG.7Schmidt-Kötters, in: Giesberts/Reinhardt, BeckOK Umweltrecht, 40. Edition, Stand: 01.07.2015, Rn. 115 mit Darstellung der Rechtsprechung. Als rechtliche und wirtschaftliche Umstände sind maßgeblich, wer die Entscheidungshoheit über die Erfüllung der Pflichten besitzt, wer weisungsfrei und selbständig agiert.8Schmidt-Kötters, in: Giesberts/Reinhardt, BeckOK Umweltrecht, 40. Edition, Stand: 01.07.2015, Rn. 115 mit Darstellung der Rechtsprechung. Auch im TKG richtet sich die Frage, wer ein Telekommunikationsnetz betreibt, danach, wer alleinverantwortlich die Funktionsherrschaft ausübt.9Eckhardt, in: Beck’scher TKG-Kommentar, 4. Auflage 2013, Rn. 37; Eckhardt, ZD 2014, 599, 600.

III. Nicht vom BSIG erfasste Betreiber

Kleinstunternehmen sind von den Vorschriften zu Schutzvorkehrungen und Meldepflichten nicht betroffen. Denn der Anwendungsbereich der §§ 8a, 8b BSIG ist gem. § 8c Abs. 1 S. 1 BSIG beschränkt. Danach sind die Vorschriften nicht auf Kleinstunternehmen anwendbar im Sinne der Empfehlung 2003/361/EC der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen.10Roos, MMR 2014, 723, 725. Diese werden zumeist jedoch schon keine kritischen Infrastrukturen betreiben.11Hornung, NJW 2015, 3334, 3335 f.

Weiterhin gibt es kritische Infrastrukturen, die in Spezialgesetzen geregelt sind. Dazu gehören beispielsweise Telekommunikationsnetze oder Energieversorgungsnetze gem. § 8c Abs. 2, Abs. 3 BSIG. Die Pflichten der Betreiber solcher kritischen Infrastrukturen bestimmen sich dann insbesondere nach § 11 EnWG oder § 109 TKG. Die Spezialgesetze genießen Vorrang vor den Vorschriften des BSIG.

Referenzen   [ + ]

1. König/Popescu-Zeletin/Schliesky, IT und Internet als kritische Infrastruktur, 2014, S. 8 f.
2. Eckhardt, ZD 2014, 599, 600.
3. Terhaag, IT-Sicherheitsgesetz, 2015, S. 59; Ortner/Daubenbüchel, NJW 2016, 2918, 2921.
4. https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/FAQ/faq_it_sig_node.html (abgerufen am 13.10.2016).
5. https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/FAQ_BSI-KritisV/faq_bsi_kritisv_node.html (abgerufen am 31.10.2016).
6. Roos, MMR 2014, 723, 725.
7. Schmidt-Kötters, in: Giesberts/Reinhardt, BeckOK Umweltrecht, 40. Edition, Stand: 01.07.2015, Rn. 115 mit Darstellung der Rechtsprechung.
8. Schmidt-Kötters, in: Giesberts/Reinhardt, BeckOK Umweltrecht, 40. Edition, Stand: 01.07.2015, Rn. 115 mit Darstellung der Rechtsprechung.
9. Eckhardt, in: Beck’scher TKG-Kommentar, 4. Auflage 2013, Rn. 37; Eckhardt, ZD 2014, 599, 600.
10. Roos, MMR 2014, 723, 725.
11. Hornung, NJW 2015, 3334, 3335 f.