Auch in der am Freitag vom Bundestag in 2. und 3. Lesung verabschiedeten Fassung des IT-Sicherheitsgesetzes bleibt offen, wieviele Unternehmen der Verkehrs- und Logistikwirtschaft als „kritische Infrastruktur“ anzusehen sind und deshalb ihre IT-Sicherheit auditieren lassen müssen. Im entscheidenden §8a der Novelle des BSI-Gesetzes wurde auf Empfehlung des Innenausschusses lediglich geringfügig präzisiert, dass der „als bedeutend anzusehende Versorgungsgrad anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen“ ist. Die konkrete Festlegung erfolgt weiterhin durch eine Verordnung des Bundesinnenministeriums. (roe)