IT-Recht – Teil 2

Teil 2. Was sind kritische Infrastrukturen?

LemonPI IT Recht AT DE EU

Wie bereits im Beitrag am 09.02.2016 gemeldet, ist trotz des jungen Jahres die Problematik der Hacker-Angriffe bereits wieder hochaktuell. So wurden nicht nur die Wiener Volkshochschulen Opfer eines Cyber-Angriffes, sondern auch der Telekommunikationsanbieter A1.

Wie in dem erwähnten Beitrag angedeutet, kann bei dem Telekommunikationsanbieter A1 durchaus darüber diskutiert werden, ob dieser nicht in die Kategorie kritische Infrastruktur fallen würde, welche in Deutschland nunmehr durch das IT-Sicherheitsgesetz besser geschützt werden soll. Dies wirft dann die Frage nach der Definition derartiger Strukturen auf, also welche Möglichkeiten bestehen zu bestimmen, was nun in den Anwendungsbereich des Gesetzes fallen soll/wird.

Als Definition für den Begriff der kritischen Infrastrukturen wurde im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (Abfragedatum: 15.02.2016) durch das Bundesgesetzblatt 2015, Teil I, Nr. 31 vom 24.07.2015 in § 2 BSIG folgender Absatz 10 neu eingefügt:

[…]
(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

 Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.
[…]

Obwohl damit eine grundsätzliche Definition der kritischen Infrastrukturen geschaffen wurde, kann alleine nach dem obigen Text nicht genau gesagt werden, welche Unternehmen in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen. Eine Tatsache, die auch im Zusammenhang mit der Erlassung stark kritisiert wurde. Der deutsche Gesetzgeber hat eine Lösung dahingehend in das BSIG ‚eingebaut‘, dass eine nähere Bestimmung nicht durch das Gesetz selbst erfolgen soll, sondern durch den Erlass einer Verordnung.

Eine derartige Vorgehensweise ist auch dem österreichischen Recht nicht fremd, auch hier werden öfter Gesetze erst durch Verordnungen näher ausgeführt und bestimmt. Während dies auf den ersten Blick nachteilig erscheinen mag, hat eine nähere Regelung durch Verordnung den Vorteil, dass eine Verordnung leichter als ein Gesetz geändert werden kann, wodurch eine Verordnung nicht nur flexibler ist, sondern auch besser den aktuellen Umständen angepasst werden kann. Am Beispiel der kritischen Infrastrukturen etwa, wäre es dem Gesetzgeber möglich, diese anhand von Unternehmensgrößen oder Branchen zu definieren. Ergibt sich dann, dass eine solche Einteilung nicht ausreicht, um einen funktionierenden Schutz zu gewährleisten, kann die Verordnung mit anderem Inhalt neu erlassen werden. Aus diesem Grund sind nicht wenige Verordnungen – auch in Österreich – nur auf eine bestimmte Zeit, zum Beispiel ein Jahr, erlassen, um den Inhalt noch aktueller halten zu können. Am Rande sei außerdem noch bemerkt, dass Verordnungen des österreichischen oder deutschen Gesetzgebers nicht gleich jenen Verordnungen sind, die seitens der Europäischen Gemeinschaften erlassen werden.

Bis dato ist noch keine Verordnung ergangen, welche die kritischen Infrastrukturen näher definieren würde, jedoch existiert bereits ein Entwurf des Bundesministerium des Inneren, welcher seit 05.02.2016 online abgerufen werden kann. Ebenfalls mit 05.02.2016 wurden Länder und Verbände in einem Hinweis des Bundesministeriums des Inneren zu Stellungnahmen aufgefordert.

Laut dem deutschen Bundesministerium des Inneren ergibt sich die Anwendbarkeit des IT-Sicherheitsgesetzes zumindest für die Betreiber von Kernkraftwerken und Telekommunikationsanbietern bereits aus dem Gesetz, alle anderen Strukturen sollen dann anhand der Verordnung nachvollziehbar überprüft werden können. Zumindest die eingangs gestellte Frage hinsichtlich des Anbieters A1 ist damit beantwortet.

Der vorliegende Entwurf soll, so in dessen Punkt B. Lösung dargelegt, das Unterfallen eines Unternehmens unter den Begriff kritische Infrastruktur nach einer dreistufigen Prüfung ermittelbar machen:

  1. Ermittlung von Sektoren, die als kritisch zu betrachten sind. Hierunter fallen etwa Energie, Wasser, Telekommunikation oder Ernährung;
  2. Festlegung der Anlagen bzw. Strukturen, die für die Erbringung der Leistungen der genannten Sektoren notwendig sind;
  3. Ausgehend von den im zweiten Schritt ermittelten Anlagenstrukturen werden konkrete Anlagen und/oder Teile von diesen ermittelt sowie deren Versorgungsgrad hinsichtlich der Gesellschaft errechnet. Erreicht dieser Versorgungsgrad eine bestimmten Schwellenwert, so gilt eine Anlage als kritische Infrastruktur und unterfällt dem IT-Sicherheitsgesetz.

Während sich die ersten beiden Schritte mit einiger Leichtigkeit direkt aus den einzelnen Stellen der geplanten Verordnung herauslesen lassen, bedeutet die Ermittlung des Schwellenwertes sowie des zugrundeliegenden Versorgungsgrades einen gewissen Rechenaufwand, da beispielsweise bei der Stromversorgung auf den durchschnittlichen Verbrauch in kWh abgestellt wird oder im Rahmen der Telekommunikation auf TB.

Zusammengefasst bringt somit auch die geplante Verordnung seitens des deutschen Gesetzgebers nicht die wohl von vielen Betreibern potentieller kritischer Infrastrukturen erhoffte Klarheit, etwa durch eine Einteilung nach Branchen. Allerdings befindet sich die Verordnung derzeit noch im Entwurfsstadium, sodass erst abgewartet werden muss, wie sich die Regelungen dann in der Praxis tatsächlich auswirken werden und handhabbar sind.

Eine ähnliche Vorgehensweise wäre wohl auch seitens des österreichischen Gesetzgebers zu erwarten, für den Fall, dass auch in Österreich ein IT-Sicherheitsgesetz in Kraft treten würde. Eine Alternative zu einer Verordnung wäre nämlich lediglich die genaue Definition von kritischen Infrastrukturen direkt in einem entsprechenden Gesetz, was angesichts der notwendigen Dynamik des Begriffes nicht sinnvoll erscheint.

Teil 3 folgt im April 2016

Autor: 
Mag. Michael Lanzinger in Kooperation mit LemonPI GmbH
Mag. Michael Lanzinger ist Rechtsanwalt mit Kanzleisitz in Wels (OÖ) und Schwerpunkt auf IT-Recht, externer Lektor and der JKU Linz und der KU Graz, Lehrender am WiFi Linz und Wels, Vortragender im Bereich Zivil- und Internetrecht sowie begeisterter User neuer Technologien. http://www.rechtsanwalt-lanzinger.at