Mit der „zweiten Verordnung zur Änderung der BSI-Kritisverordnung“ hat das Bundesinnenministerium des Inneren und für Heimat (BMI) zum 01.01.2022 die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) geändert und damit die Anzahl der Betreiber kritischer Infrastrukturen erhöht.
Grund für diese Änderung ist eine durch § 9 BSI-KritisV vorgeschriebene und erstmalig nach zwei Jahren nach Inkrafttreten der Rechtsverordnung erforderliche Evaluierung der Bestimmung kritischer Infrastrukturen und der entsprechenden Schwellenwerte.
Die Änderungen haben gleichzeitig auch Auswirkungen auf die deutsche Investitionskontrolle. Der Erwerb von 10% der Stimmrechte an einem Betreiber einer kritischen Infrastruktur im Sinne des BSI-Gesetzes durch einen Nicht-EU/EFTA Investor unterliegt nach § 55a Abs. 1 Nr. 1 AWV der Investitionskontrolle. Es ist daher empfehlenswert sich mit den wichtigsten Änderungen vertraut zu machen.
I. Die relevanten Änderungen
Als kritische Infrastruktur sind Anlagen und Teile dieser zu qualifizieren, die zur Erbringung von kritischen Dienstleistungen in einem bestimmten Sektor notwendig sind und dabei gewisse Schwellenwerte überschreiten, die aus gesamtgesellschaftlicher Sicht ihre Bedeutung für die Versorgung der Allgemeinheit widerspiegeln.
Die Änderungen der BSI-KritisV führen zur Erweiterung des Anlagenbegriffs, zur Überarbeitung der Anlagenkategorien in den jeweiligen Sektoren und bringen gleichzeitig eine deutliche Herabsetzung der Schwellenwerte mit sich. Nach Schätzungen des Verordnungsgebers werden hierdurch 270 zusätzliche Betreiber von der Verordnung erfasst, die vor allem im Bereich der Energieversorgung tätig sind. Damit erhöht sich die Gesamtzahl der Betreiber von kritischen Infrastrukturen nach Einschätzung des BMI von ca. 1.600 auf insgesamt ca. 1.870, die den Pflichten des BSI-Gesetzes unterliegen. Diese Pflichten beinhaltet unter
anderem die Pflicht zur Registrierung der betriebenen kritischen Infrastruktur beim Bundesamt für Sicherheit in der Informationstechnik nach § 8b Abs. 3 BSIG.
1. Software und IT als „Anlage“
Der Anlagenbegriff des § 1 Nr. 1 BSI-KritisV wird um Software und IT-Dienste, die zur Erbringung einer kritischen Dienstleistung notwendig sind, erweitert. Damit Software und IT-Dienste kritische Infrastruktur darstellen können, müssen sie einer in den Anhängen beschriebenen Anlagenkategorie entsprechen und die dort genannten Schwellenwerte erreichen oder überschreiten.
Bislang fielen nur Unternehmen unter die Investitionskontrolle, welche Software entwickeln oder herstellen, die branchenspezifisch dem Betrieb von kritischer Infrastruktur dient. Durch die Änderungen können nunmehr auch Unternehmen erfasst sein, die zur Erbringung einer kritischen Dienstleistung Software und IT-Dienste lediglich nutzen.
2. Energiesektor
Die Änderungen im Energiesektor haben die weitreichendsten Auswirkungen. Der Schwellenwert für Stromerzeugungsanlagen wird von 420 MW auf 104 MW herabgesetzt (für Primärregelanlagen sogar auf 36 MW), sodass auch kleinere Kraftwerke erfasst werden. Dies spiegelt die zwangsläufige Entwicklung auf dem Erzeugungsmarkt wider, da durch Atom- und Kohleausstieg die durchschnittliche Leistungsgröße von Erzeugungsanlagen absinkt. Zudem fallen bestimmte Schwarzstartanlagen (Anbieter von Systemdienstleistungen zum Netzwiederaufbau) ohne Rücksicht auf einen Schwellenwert unter die BSI-KritisV.
Zusätzlich als kritische Dienstleistung wurde der Gas- und Mineralölhandel aufgenommen, sodass Gashandelssysteme und Anlagen oder Systeme zur zentralen kommerziellen Steuerung des Mineralölhandels kritische Infrastrukturen darstellen können.
3. Transport
Zur Angleichung an die Richtlinie (EU) 2016/1148 (NIS-Richtlinie) wurden Flughafenleitungsorgane, Verkehrszentralen von Fluggesellschaften, Leitungsorgane von Häfen (nur Güterverkehr), Hafeninformationssysteme, Umschlaganlagen in See- und Binnenhäfen sowie intelligenter Verkehrssysteme im Sinne des § 2 IVSG als neue Anlagenkategorien aufgenommen.
4. IT- und Telekommunikation
Im Bereich IT wird der Schwellenwert für „internet exchange points“ (IXP) von 300 angeschlossener Systeme auf 100 reduziert. Zudem ist der Schwellenwert für Rechenzentren (Housing) von vertraglich vereinbarten 5 MW auf 3,5 MW gesunken. Auch die Schwellenwerte für Serverfarmen (Hosting) wurden für den Nutzer betriebenen physisch Instanzen auf 10.000 und für virtuelle Instanzen auf 15.000 herabgesenkt. Zuvor lag die Schwelle bei 25.000 Instanzen.
5. Gesundheit
Im Gesundheitssektor wird ein „Laborinformationsverbund“ als neue kritische Anlagenkategorie definiert. Dabei geht es um IT-Dienstleistungen wie z.B. die Kommunikation zum Auftragseingang und zur Befundübermittlung, die für Labore erbracht werden, die zu einem Verbund zusammengeschlossen sind. Relevant für den Schwellenwert ist hierbei die kumulierte Anzahl der Aufträge im Laborverbund.
6. Finanz- und Versicherungswesen
Der Handel mit Wertpapieren und Derivaten war bislang keine kritische Dienstleitung. Dies hat der Verordnungsgeber aufgrund der gestiegenen gesamtgesellschaftlichen Bedeutung des Wertpapierhandels geändert. In diesem Zusammenhang wurden neue Anlagenkategorien mit entsprechenden Schwellenwerten eingefügt.
II. Fazit
Durch die Änderungen fallen Unternehmen unter die Investitionskontrolle, die bislang nicht erfasst waren. Es ist davon auszugehen, dass dieser Trend künftig weiter bestand haben wird, da der Schutz kritischer Infrastrukturen ein wichtiges Ziel der Europäischen Union und ihren Mitgliedstaaten ist. Dies zeigt sich unter anderem in den geplanten Gesetzesvorhaben wie der Richtlinie über die Resilienz kritische Einrichtungen der Kommission. Daher sind weitere Änderungen zu erwarten.