Das IT-Sicherheitsgesetz ist bereits am 25. Juli 2015 in Kraft getreten. Es sieht u.a. vor, dass informationstechnische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von Mindestsicherheitsstandards abzusichern sind. Zudem müssen erhebliche IT-Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Mit der Verordnung werden die Regelungen jetzt umgesetzt, wonach die Bewertung einer Infrastruktur als „kritisch“ nach vorgeschlagener Methodik erfolgen soll.
Deutliche Kritik
Bereits mit Verabschiedung des IT-Sicherheitsgesetzes im Jahr 2015 war vom Bundesinnenministerium (BMI) festgelegt worden, den Sektor Ernährung mit einzubeziehen. Dies wurde von BVLH und HDE gegenüber dem Ministerium wiederholt mit deutlicher Kritik kommentiert. Es gelang über die jüngsten verbandlichen Interventionen zumindest, die Schwellenwerte noch einmal deutlich anzuheben und eine pauschalisierte Umrechnung in Bruttoumsatz festzuschreiben. Die Kritik daran, den Sektor Ernährung und damit die Lebensmittelunternehmen überhaupt als „Kritische Infrastrukturen" im Sinne des IT-Gesetzes einzustufen, wurde, wie zuletzt bei der offiziellen Anhörung deutlich wurde, vom BMI nicht berücksichtigt.
Schwellenwerte angehoben und konkretisiert
Allerdings wurden die sogenannten Schwellenwerte erhöht. Aufgenommen wurde in die Verordnung eine pauschalisierte Umrechnung der Schwellenwerte in einem Verhältnis von 3,90 Euro pro Kilogramm bzw. pro Liter (Anhang 3 Teil 1). Zudem erfolgte noch eine deutliche Anhebung der in der Verordnung (Anhang 3 Teil 3) aufgeführten Schwellenwerte für Speisen von 334.000 Tonnen auf jetzt 434.500 Tonnen sowie bei Getränken von 274,5 Mio. Liter auf jetzt 350 Mio. Liter. Gemäß pauschalisierter Umrechnung liegt damit der Schwellenwert bei einem Bruttoumsatz von ca. 1,7 Mrd. Euro für Speisen und bei ca. 1,4 Mrd. Euro für Getränke.
Betroffenheit jetzt feststellbar
Durch die Verordnung werden die Betreiber von Kritischen Infrastrukturen in die Lage versetzt, anhand messbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. Die von der Verordnung betroffenen Betreiber sind mit Inkrafttreten verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI):
- innerhalb von 6 Monaten eine zentrale Kontaktstelle u.a. zwecks Meldepflichten zu benennen und
- innerhalb von 2 Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.
Arbeiten am Standard begonnen
Die Verordnung bestimmt zunächst Kritische Infrastrukturen in den Sektoren Ernährung, Energie, Informationstechnik, Telekommunikation und Wasser. Im Branchen-Arbeitskreis Lebensmittelhandel des UP KRITIS haben die Arbeiten an einem entsprechenden Standard bereits begonnen. Das BMI kündigt an, dass mittels einer weiteren Änderungsverordnung (Teil 2) dann auch bis April 2017 die betroffenen Betreiber in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen festgestellt werden können.
Foto: istockphoto.com / hjroy
Autor Christian Mieles ist Geschäftsführer des Bundesverbandes des Deutschen Lebensmittelhandels (BVLH).
Weitere Informationen: www.bvlh.net