6 minute read
Dritte Verordnung zur Änderung der BSI-Kritisverordnung
BDI begrüßt lagebasierte Anpassung der Kritisverordnung & fordert bessere Einbindung
20. Januar 2023
Der völkerrechtswidrige russische Angriffskrieg gegen die Ukraine hat weitreichende sicherheitspolitische und ökonomische Konsequenzen für den Standort Deutschland. Die deutsche Industrie begrüßt daher grundsätzlich, dass die Bundesregierung dieser geänderten Bedrohungslage durch regulatorische Maßnahmen begegnet. Angesichts des erstmaligen Aufbaus von LNG-Terminals in Deutschland sowie der Relevanz einer störungsfreien internationalen Datenübermittlung im Zeitalter der digitalen Transformation ist die Aufnahme von LNG-Terminals sowie von Seekabelanlandestationen ein konsequenter Schritt. Der BDI bedankt sichfürdie Möglichkeit zur Eingabe vonStellungnahmen zum Entwurf des Bundesministeriums des Innern und für Heimat zur dritten Verordnung zur Änderung der BSIKritisverordnung
Die ganzheitliche Stärkung der Cyberresilienz verlangt zudem einen kooperativen Ansatz von Staat und Wirtschaft. Die Einbeziehung weiterer Wirtschaftsakteure sowie neuer technischer Einheiten kann nur erfolgreich sein, wenn der Staat die unter die BSI-Kritisverordnung fallenden Unternehmen effektiv und effizient durch ▪ ein tagesaktuelles Lagebild über die Cybersicherheit im unternehmerischen Kontext sowie ▪ dasAnbieten von Sicherheitsüberprüfungen von inbesonders sicherheitskritischenUnternehmensbereichen tätigen Mitarbeitenden unterstützt.
BDI-Position kurz und kompakt: ▪
LNG-Terminals: Vor dem Hintergrund der Relevanz von LNG-Terminals für die Energiesicherheit Deutschlands, begrüßt der BDI deren Aufnahme in den Anwendungsbereich der BSI-Kritisverordnung. Wir empfehlen jedoch minimale Anpassungen an deren Definition. ▪
Seekabelanlandestationen: Da mit einer Seekabelanlandestation keine Informationen verarbeitet werden, sollte die Bundesregierung überprüfen, kann der BDI zwar die grundsätzliche Intention der Bundesregierung zum Schutz dieser Infrastrukturen nachvollziehen, stellt jedoch den Regelungsort vor dem Hintergrund von § 2 Abs. 1 BSIG in Frage.
▪
Ganzheitlicher Ansatz: Im Rahmen der Umsetzung der NIS 2- und RCE-Richtlinien sollte die Bundesregierung einen ganzheitlichen Ansatz zum Schutz Kritischer Infrastrukturen vor digitalen und analogen Gefahren etablieren. Die Aufnahme von Anlagen in die Kritisverordnung kann nur ein erster Schritt sein.
▪
Erfüllungsaufwände: Durch die Neuaufnahme von LNG-Terminals und Seekabelanlandestationen entstehen der deutschen Wirtschaft erhebliche neue personelle, organisatorische und finanzielle Erfüllungsaufwände. Diese müssen in der Änderungsverordnung genannt werden.
Bundesverband der Deutschen Industrie e.V. (BDI) | Breite Straße 29, 10178 Berlin | Lobbyregisternummer: R000534 Steven Heckler | Digitalisierung und Innovation | T: +49 30 2028-1523 | s.heckler@bdi.eu | www.bdi.eu
LNG-Terminals
Flüssigerdgas nimmt zukünftig in der Wahrung der Energieversorgungssicherheit Deutschlands eine entscheidende Rolle ein. Vor diesem Hintergrund ist ein risikoadäquater Schutz von LNG-Terminals vor digitalen und analogen Bedrohungen von entscheidender Bedeutung. Die deutsche Industrie begrüßt daher die Aufnahme von LNG-Terminals in die BSI-Kritisverordnung.
Um die in der BSI-Kritisverordnung verwendete Definition von LNG-Terminals an bestehende rechtliche Definitionenanzugleichen, empfiehlt der BDI einenVerweis in derBSI-Kritisverordnung auf §2 Gesetz zur Beschleunigung des Einsatzes verflüssigten Erdgases (LNG-BeschleunigungsgesetzLNGG). Dementsprechend sollten LNG-Anlagen als „stationäre schwimmende respektive landgebundene Anlagen Kopfstationen zur Verflüssigung von Erdgas oder zur Einfuhr, Entladung und Wiederverdampfung von verflüssigtem Erdgas einschließlich der Anlagenteile für Hilfsdienste und für die vorübergehende Speicherung von verflüssigtem Erdgas, die für die Wiederverdampfung und die anschließende Einspeisung in das Fernleitungsnetz erforderlich sind“ definiert werden.
Seekabelanlandestationen für primär zur Sprach- und Datenkommunikation genutzte Seekabel
Die Stärkung der Cyberresilienz von Infrastrukturen, die den Datenverkehr über Seekabel ermöglichen, ist von hoher Relevanz, da aktuell mehr als 95 Prozent des internationalen Datentransfers durch Unterseekabel erfolgt. Deutsche Unternehmen sind in einem hohen Maße vom Datentransfer mittels Seekabel für die reibungslose Abwicklung von Geschäftsprozessen (u. a. den Austausch von Daten zwischen internationalen Standorten) sowie das Anbieten von digitalen Dienstleistungen angewiesen Der BDI kann daher die grundsätzliche Intention der Bundesregierung, den Schutz von Seekabelanlandestationen für primär zur Sprach- und Datenkommunikation genutzte Seekabel zu stärken, nachvollziehen Allerdings haben wir grundsätzliche Fragen hinsichtlich der Passgenauigkeit des Regelungsortes und sehen zudem Bedarf für Nachschärfungen im Detail
Zu Ziffer 2.3:
Über Ziffer 2.3 der Dritten Änderungsverordnung zur BSI-Kritisverordnung werden „Seekabelanlandestationen“ in den Anwendungsbereich der BSI-Kritisverordnung aufgenommen. Unseres Erachtens bestehen Zweifel, ob mit der BSI-Kritisverordnung und dem BSIG die richtigen Regelungsorte bestehen. Nach § 8a Abs. 1 BSIG sind Betreiber Kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Nach § 2 Abs. 1 BSIG umfasst der Begriff der Informationstechnik im Sinne dieses Gesetzes alle technischen Mittel zur Verarbeitung von Informationen. Mit einer Seekabelanlandestation werden jedoch keine Informationen verarbeitet. Auch in den dort anlandenden Seekabeln werden keine Informationen verarbeitet.
Der Begriff „Seekabelanlandestation“ wird in Ziffer 2.3 als „Anlandestation zur Anbindung primär der Sprach- und Datenübertragung dienender Seekabel an landgestützte Telekommunikationsnetze“ definiert. Für die Anwendung in der Praxis bedarf es einer Konkretisierung dieses Begriffs. Bei der Konkretisierung sollten folgende Punkte berücksichtigt werden:
▪
Dritte Verordnung zur Änderung der BSI-Kritisverordnung
Erstens ist zu klären, welche konkreten Bauteile die Anlandestation im Sinne der Definition nach Ziffer 2.3 umfasst. Anlandestationen (ähnlich wie Kollokationsräume) werden vielfach Kabelbetreibern gegen Entgelt zur Nutzung überlassen, d. h. dass sich die Eigentumsverhältnisse / Nutzungsverhältnisse von Kabelanlagen und Anlandestation unterscheiden können. Denkbar ist beispielsweise, dass ein Unternehmen, das selbst kein TK-Netz betreibt, die Anlandestation als Eigentümer / Mieter betreibt und unterschiedlichen Kabelbetreibern zur Nutzung überlässt. Die Kabelbetreiber können wiederum danach unterschieden werden, ob sie die Kabel als Eigentümer oder Mieter betreiben. Für diese Fälle bedarf es einer Konkretisierung von Ziffer 2.3, wen die Pflicht zur Meldung der Seekabelanlandestation treffen soll.
▪
Zweitens ist zu klären, ob über den Begriff der Seekabelanlandestation nur solche Anlagen erfasst werden, mittels derer internationale Kabel angelandet werden Unseres Erachtens sind nationale Seekabel nicht weniger, aber auch nicht kritischer zu betrachten als Land- bzw. Erdkabel. Insoweit hielten wir die Einbeziehung von nationalen Kabeln aus Risikogesichtspunkten für nicht sachgerecht.
▪
Ferner ist zu klären, ob die Regelung auch für Binnengewässer greifen soll. Zum Teil beruht die Verlegung von Kabeln durch Binnengewässer ausschließlich auf Kostenerwägungen, weil die Kosten der Verlegung von Erdkabeln deutlich höher liegen können. Durch die Verlegung der Kabel durch ein Binnengewässer nimmt deren Bedeutung für die Erbringung der Telekommunikationsdienste weder zu noch ab. Gleiches gilt für Betriebsrisiken. Insofern sollte der Begriff in Ziffer 2.3. Binnengewässerkabel ausnehmen.
Zu Zeile 1.2.2 der Tabelle von Teil 3:
Nach dem Entwurf soll der Schwellwert bereits überschritten sein, wenn ein Kabel in der Seekabelanlandestation anlandet. Die deutsche Industrie sieht es kritisch, dass Kriterien zur Beschreibung des Kabels vollständig fehlen. Hier sollten zwingend Angaben zur Kapazität des Kabels und zur Frage der Art des Kabels (internationales Kabel, Fernkabel etc.) ergänzt werden. Andernfalls würde jede Seekabelanlandestation, in der ein Kabel anlandet, in den Anwendungsbereich der Neuregelung fallen, ungeachtet der Frage, ob es sich bei dem Kabel um ein kritisches handelt oder nicht und ungeachtet der Frage, welche Auswirkungen der Ausfall eines solchen Kabels für den deutschen Telekommunikationsmarkt nach sich ziehen würde. In diesem Zusammenhang verweisen wir auf § 8a Abs. 1 BSIG, nachdem nur solche Infrastrukturanlagen erfasst sind, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind. Zudem sind nur solche Schutzmaßnahmen zu leisten, die angemessen sind im Sinne des § 8a Abs. 1 letzter Satz BSIG.
Ganzheitlichen Ansatz wählen
Die Sabotageakte an den Nordstream-Pipelines sowie der Bahninfrastruktur haben gezeigt, dass neben digitalen auch analoge Angriffe auf Kritische Infrastrukturen weiterhin zum modus operandi von Kriminellen gehören. Folglich bedarf es eines ganzheitlichen Schutzkonzepts, das sowohl digitale wie analoge Angriffsvektoren berücksichtigt und entsprechende Anforderungen an technische und organisatorische Schutzmaßnahmen vereint. Die Aufnahme von Anlagen in die dem BSIG nachgelagerte BSI-Kritisverordnung zum Schutz vor digitalen Angriffen kann langfristig daher nur ein erster Schritt sein. Es ist dringend angezeigt, dass im Rahmen der Umsetzung der NIS 2- und RCE-Richtlinien in nationales Recht Sicherheitsanforderungen zum Schutz vor analogen und digitalen Bedrohungen, einheitliche Melde- und Registrierungspflichten sowie ein zentraler Ansprechpartner auf Seiten der
Dritte Verordnung zur Änderung der BSI-Kritisverordnung
Behörden „aus einem Guss“ etabliert werden. Im Sinne der Umsetzbarkeit entsprechender regulatorischer Anforderungen ist eine Fokussierung auf besonders kritische Assets dabei angezeigt.
Erfüllungsaufwand für die Wirtschaft
Durch die Neuaufnahme von LNG-Terminals fürdie Anlandung und Regasifizierungvon Flüssigerdgas sowie Seekabelanlandestationen für primär zur Sprach- und Datenkommunikation genutzte Seekabel entstehen der deutschen Wirtschaft erhebliche neue personelle, organisatorische und finanzielle Erfüllungsaufwände. Diese ergeben sich u. a. aus der Umsetzung der Anforderungen gemäß § 8b (3) und (4) BSIG. Da diese Anlagen bei der Entwicklung des IT-Sicherheitsgesetzes sowie der nachgelagerten Kritisverordnung teils noch nicht in Deutschland existierten, ergeben sich durch die dritte Änderungsverordnung zur BSI-Kritisverordnung für die deutsche Wirtschaft neue Erfüllungsaufwände, die ursprünglich nicht in den Berechnungen des Erfüllungsaufwands für das IT-Sicherheitsgesetz sowie für das IT-Sicherheitsgesetz 2.0 berücksichtigt waren Es ist daher nicht richtig, dass das Bundesministerium des Innern und für Heimat von keinen zusätzlichen Erfüllungsaufwänden ausgeht. Die Dritte Änderungsverordnung zur BSI-Kritisverordnung muss daher zwingend einen angemessenen monetären Erfüllungsaufwand für diedeutsche Wirtschaft aufweisen. Um diesen berechnenzu können, bedarf es jedoch deutlich mehr als der sieben Arbeitstage, die das Bundesministerium des Innern und für Heimat zur Abgabe einer Stellungnahme gewährt hat.
Stakeholder-Konsultation des Bundesministeriums des Innern und für Heimat
Bereits am 24. Mai 2022 wurde über das Gesetz zur Beschleunigung des Einsatzes verflüssigten Erdgases (LNGG) die Grundlage für einen raschen Aufbau von LNG-Terminals durch beschleunigte Genehmigungsverfahren gelegt. Dem BDI ist es unverständlich, warum das Bundesministerium des Innern und für Heimat erst am 13. Januar 2023 die Definition von LNG-Terminals als Kritische Infrastrukturen über die Dritte Änderungsverordnung zur BSI-Kritisverordnung initiiert hat. Dies hätte viel früher passieren müssen, sodass Betreiber entsprechender Infrastrukturen frühzeitig beim Aufbau der LNGTerminals ihre Cybersicherheitsmaßnahmen an die gesetzlichen Anforderungen, die aus dem BSIG erwachsen, entwickeln hätten können. Durch die viel zu späte Befassung des BMI mit diesem Thema entstehen den Betreibern potenziell zusätzliche Erfüllungsaufwände, da sie ihre Cybersicherheitsschutzkonzepte bereits kurz nach Inbetriebnahme anpassen müssen
Ferner ist die vom BMI gewährte Frist zur Einreichung von Stellungnahmen von gerade einmal sieben Tagen inakzeptabel. Durch eine frühzeitigere Initiierung der Stakeholderkonsultation wäre eine vertieftere Befassung der Wirtschaft mit dem vorliegenden Verordnungsentwurf möglich gewesen. Der BDI kann in der neuerlichen sehr kurzen Frist zur Stellungnahme nicht die im Koalitionsvertrag angekündigte „Kultur des Respekts“ und die neuen Formen des Umgangs erkennen. Der BDI fordert die Bundesministerin des Innern und für Heimat auf, bei der Erarbeitung der Umsetzungsgesetze für die NIS 2-Richtlinie und die Resilience-of-Critical-Entities-Richtlinie deutlich längere Konsultationsfristen vorzusehen. Es braucht dringend eine strukturierte und zeitlich angemessene Beteiligung relevanter Stakeholdergruppen, damit gesetzliche Anforderungen praxisnah ausgestaltet sind.