TeleTrusT kommentiert und kritisiert Entwurf der Kritisverordnung
In einer aktuellen Stellungnahme kommentiert und kritisiert der Bundesverband IT-Sicherheit (TeleTrusT) den vorliegenden Entwurf einer „Verordnung zur Bestimmung kritischer Anlagen nach dem KRITIS-Dachgesetz (Kritisverordnung - KritisV)“.
Die KritisV bestimmt durch die Festlegung von Sektoren, Branchen, kritischen Dienstleistungen, Anlagenkategorien und Schwellenwerten, welche Anlagen als kritisch einzustufen sind. Sie löst damit die bisherige BSI-Kritisverordnung auch für Zwecke der IT-Sicherheit nach dem BSIG ab und fungiert künftig als gemeinsame Rechtsverordnung für physische Resilienz und IT-Sicherheit.
TeleTrusT begrüßt diesen Ansatz, kritische Anlagen für Zwecke der IT-Sicherheit und der physischen Resilienz einheitlich zu identifizieren und dadurch für mehr Rechtssicherheit und Verständlichkeit der Regelungen zu sorgen. Gleichwohl weist der Entwurf nicht nur redaktionelle, sondern auch semantische und methodische Schwächen auf.
Unverständlich bleibt, warum die Verordnung sich noch im vorgelegten, nicht abgestimmten Entwurfsstadium befindet. Die viel zu späte Umsetzung der CER-Richtline bot hier eine ungewöhnlich lange Vorbereitungszeit. Die betroffenen Unternehmen werden ohne Übergangsfrist materiell verpflichtet sein.
„Es ist sinnvoll wie naheliegend, durch eine einheitliche Kritisverordnung die Anwendbarkeit sowohl des KRITIS-Dachgesetzes als auch des BSI-Gesetzes auszugestalten“, so Rechtsanwalt Karsten U. Bartels, stellvertretender TeleTrusT-Vorstand. „Wir wünschen uns Klarheit für die Unternehmen und hoffen deshalb auf ein zügiges Umsetzen der überfälligen Verordnung. Die Schwellenwert-Methode in der hergebrachten Weise ist jedoch nicht im Mindesten geeignet, die tatsächlichen Risiken in ein angemessenes Verhältnis zum Anwendungsrahmen des Gesetzes zu bringen. Mit anderen Worten: Die Bezugsgröße von 500.000 versorgten Personen hielt und hält keiner Überprüfung stand, ist methodisch widerlegt – und leider ein Risiko für sich.“
Der Referentenentwurf der KritisV greife die europäischen Vorgaben der CER-Richtlinie zwar im Grundsatz auf und schaffe eine begrüßenswerte Kohärenz zwischen physischer Resilienz und IT-Sicherheit. In seiner derzeitigen Fassung bleibe der Entwurf jedoch noch hinter den Anforderungen an eine rechtssichere, praktisch handhabbare und methodisch überzeugende Regulierung zurück.
Insbesondere fehle es an einer hinreichend nachvollziehbaren Auseinandersetzung mit den angelegten Schwellenwerten. Die Zahl von 500.000 versorgten Personen werde zwar als Regelschwellenwert herangezogen, ihre Herleitung und Übertragung auf unterschiedliche Sektoren überzeuge jedoch keinesfalls. Hinzu komme, dass eine Auseinandersetzung mit weiteren in Art. 7 CER-Richtlinie ausdrücklich genannten Kriterien, etwa sektorübergreifenden Abhängigkeiten, geografischen Auswirkungen, Substituierbarkeit sowie Dauer und Ausmaß möglicher Störungen, zur Geltung kommen müsse.
