BSIG – KRITIS-Betreiber müssen besondere Cyber Security Maßnahmen umsetzen

Wer ist Betreiber von kritischer Infrastruktur im Sinne des BSIG?

Bevor sich der Frage nach der Betreibereigenschaft gewidmet werden kann, ist zunächst zu klären, was kritische Infrastruktur im Sinne des BSIG eigentlich ist. Gemäß § 2 Abs. 10 BSIG sind kritische Infrastrukturen:

Einrichtungen, Anlagen oder Teile davon die den Sektoren […], Informationstechnik oder Telekommunikation, […] angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil […].

Klarheit darüber, wann etwas von hoher Bedeutung für das Funktionieren des Gemeinwesens ist, soll durch die Verordnung zur Bestimmung Kritischer Infrastruktur nach dem BSI-Gesetz (KritisV) geschaffen werden. So ist bspw. die Datenübertragung, -speicherung und -verarbeitung gemäß § 5 Abs. 1 KritisV wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens im Sektor der Informationstechnik und Telekommunikation kritische Dienstleistung im Sinne des BSIG. Dazu gehören klassischer Weise auch IT-Betreiber von Serverfarmen (Hosting), Rechenzentren und Betreiber eines "Content Delivery Network".

Schwellenwert - KRITIS sind nicht nur die Großen

Sofern es sich um eine kritische Dienstleistung handelt, ist für die Anwendbarkeit des BSIG weiter zu prüfen, ob ein festgelegter Schwellenwert erreicht wird. Grundsätzlich wird vom Erreichen des Schwellenwertes ausgegangen, sofern durch die Leistung des Betreibers eine Bedarfsabdeckung von 500.000 versorgten Personen erreicht wird. Sie denken sich jetzt möglicherweise, dass Ihre Dienstleistungen niemals 500.000 Personen versorgen. An dieser Stelle ist allerdings Vorsicht geboten. Denn gemäß § 1 Abs. 2 KritisV gilt "gemeinsame Anlage", wenn zwei oder mehrere Personen Anlagen betreiben, die durch einen betriebstechnischen Zusammenhang verbunden sind. Dann ist jeder für die Erfüllung der Pflichten als Betreiber der gemeinsamen Anlage verantwortlich.

Wer ist Betreiber?

Betreiber kritischer Infrastruktur ist nach § 1 Abs. 1 Nr. 2 KritisV "eine natürliche oder juristische Person, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt". Die Liste registrierter Betreiber sind verständlicher Weise nicht öffentlich einsehbar.

Gibt es Ausnahmen?

Gänzlich ausgenommen von der Frage, ob ein Unternehmer KRITIS-Betreiber ist, sind gemäß § 8d Abs. 1 BSIG in Verbindung mit der Empfehlung der Kommision (2003/361/EG) Kleinstunternehmen mit einem Jahresumsatz von weniger als 2 Mio. Euro und weniger als zehn beschäftigten.

Rechtsfolgen

Betreiber kritischer Infrastruktur müssen organisatorische und technologische Cyber Security Maßnahmen treffen, um ihre Anlagen vor Ausfällen und Angriffen zu schützen. So ist beispielsweise der Einsatz eines Systems zur Angriffserkennung ab dem 01. Mai 2023 verpflichtend für Betreiber kritischer Infrastruktur.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Über Jörn Tröber, Fachanwalt für IT-Recht

Jörn Tröber, Partner und Kanzleigründer von TRÖBER@ legal, berät seit über 30 Jahren Mandanten in IT-rechtlichen Fragen. Als Fachanwalt für IT-Recht ist er insbesondere auf die Gestaltung und Verhandlung von IT-Verträgen spezialisiert.