Das Bundesministerium des Innern (BMI) hat am 2. Februar 2016 den „Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach BSI-Gesetz“ (BSI-KritisV) vorgelegt. Das im Sommer 2015 verabschiedete IT-Sicherheitsgesetz stellt die Grundlage für diese Verordnung dar. Die Verordnung selbst soll definieren, welche Bereiche ausgewählter Wirtschaftssektoren als Kritische Infrastrukturen eingestuft werden, für die dann das IT-Sicherheitsgesetz gilt.
In seiner Stellungnahme beleuchtet der BITMi die verschiedenen Aspekte des Entwurfs:
„Der BITMi hatte bereits am IT-Sicherheitsgesetz des Bundes Kritik geübt, da nicht eindeutig erkennbar war, inwieweit mittelständische IT-Unternehmen betroffen sind. Dieses zentrale Problem sollte mit der KritisV behoben werden. Der BITMi erkennt diese Bemühungen für den Bereich des IT-Sektors an. Die, bspw. unter der vereinbarten Leistung eines Rechenzentrums oder der Menge ausgegebener personenbezogener Zertifikate, genannten Zahlen scheinen aus Sicht des BITMi geeignet, um Betreiber kritischer Infrastrukturen zu identifizieren, wenn auch im Einzelfall die Definitionen noch einmal überprüft und ggfs. angepasst werden sollten. Gleichwohl konstatiert der BITMi, dass nach wie vor nicht eindeutig feststellbar ist, inwieweit mittelständische IT-Unternehmen durch das IT-Sicherheitsgesetz betroffen sind.“
Lesen Sie hier die vollständige Stellungnahme.