Da ich während der KRITIS-Prüfungen immer wieder gefragt werde, ob es für Betreiber einer kritischen Dienstleistung im Kontext des §8a BSIG Bußgelder geben könnte, habe ich die mir bekannten Passagen (Stand 07.08.2021) einmal zusammengestellt.
Natürlich sind die bereitgestellten Informationen lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen.
Bitte lesen Sie immer den aktuellen sowie vollständigen Gesetzestext und bilden Sie sich auf dieser Basis Ihre eigene Meinung. Ich habe dafür die vom Bundesministerium der Justiz und für Verbraucher bereitgestellte Seite "Gesetze im Internet" (Linkdatum 07.08.2021) genutzt.
Vorkehrungen
Absatz (1)
1 Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach § 10 Absatz 1 gelten, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. [...] | |
🟠 BSIG §14 Bußgeldvorschriften | Absatz (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig [...]
2 entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, [...] |
🔴 BSIG §14 Bußgeldvorschriften | Absatz (5)
1 Die Ordnungswidrigkeit kann [...] in den Fällen der Absätze 1, 2 Nummer 2 und 3 mit einer Geldbuße bis zu einer Million Euro geahndet werden. [...] |
Angemessene Vorkehrungen
Falls in diesem Kontext die Frage aufkommt, wie viel angemessene Maßnahmen kosten können und ab wann sie aus wirtschaftlichen Gründen vom KRITIS-Betreiber abgelehnt werden dürfen:
BSIG §8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen / Absatz (1) Satz 3
"Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht."
Eine weitere Konkretisierung bezüglich angemessener Vorkehrungen befindet sich im Kapitel 5.1.3.1 der vom BSI zur Verfügung gestellten "Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG" (Linkdatum 07.08.2021):
Umgang mit Risiken - Risikoakzeptanz
"Risiken im Geltungsbereich dürfen gemäß § 8a Absatz 1 BSIG nicht akzeptiert werden, sofern Sicherheitsvorkehrungen nach Stand der Technik möglich und angemessen sind. Erst für das dann noch verbleibende Restrisiko ist eine Risikoakzeptanz möglich."
In einer KRITIS-Prüfung muss dargelegt werden, wie diese Anforderungen in der Auswahl sowie Umsetzung der organisatorischen und technischen Vorkehrungen vom KRITIS-Betreiber berücksichtigt worden sind.
Nachweise
🔵 BSIG § 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen | Absatz (1) 1 Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach § 10 Absatz 1 gelten, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.
2 Dabei soll der Stand der Technik eingehalten werden.
3 Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.
Absatz (1a) 1 Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung.
2 Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten.
3 Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.
4 Absatz 1 Satz 2 und 3 gilt entsprechend. [...] |
🟢 BSIG §8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen | Absatz (3)
1 Betreiber Kritischer Infrastrukturen haben die Erfüllung der Anforderungen nach den Absätzen 1 und 1a spätestens zwei Jahre nach dem in Absatz 1 genannten Zeitpunkt und anschließend alle zwei Jahre dem Bundesamt nachzuweisen. [...] |
🟠 BSIG §14 Bußgeldvorschriften | Absatz (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig [...]
3. entgegen §8a Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach §10 Absatz 1 Satz 1 einen Nachweis nicht oder nicht rechtzeitig erbringt, [...] |
🔴 BSIG §14 Bußgeldvorschriften | Absatz (5)
1 Die Ordnungswidrigkeit kann [...] in den Fällen der Absätze 1, 2 Nummer 2 und 3 mit einer Geldbuße bis zu einer Million Euro geahndet werden. [...] |
Lesetipp
In der vom BSI bereitgestellten "Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG" (Linkdatum 07.08.2021), stehen Informationen bezüglich der zu erbringenden Nachweise zur Verfügung. Ferner werden in dem Dokument unteranderem die folgenden Fragen beantwortet:
Wie können KRITIS-Betreiber bei der Erfüllung der Nachweispflicht nach § 8a Absatz 3 BSIG vorgehen?
Welche Informationen sollten sie wem bereitstellen?
Welche Aufgaben haben prüfende Stellen?
Was sind geeignete prüfende Stellen?
Welche Aufgaben hat das Prüfteam und welche Kompetenzen sollte es besitzen?
Wie sollte die Prüfung durchgeführt werden (Prüfgrundlage, -themen, -methoden, Ergebnisse)?
Wie werden Nachweisdokumente eingereicht und welche Fristen gibt es zu beachten?
Ferner wird im Kapitel 5.1.3.1 der Orientierungshilfe ausführlich erklärt welche Rahmenbedingungen eingehalten werden müssen, wenn ein ISO 27001-Zertifikat als Nachweis genutzt werden soll.