Kritik an Verordnung zu kritischer Infrastruktur

matthias.roeser Luft, Schiene, Straße, Wasser
  • Niedrige Schwellenwerte angesetzt
  • Kritik an fehlendem Branchenverständnis
  • Bürokratielasten unterschätzt

Ein Verordnungsentwurf des Bundesinnenministeriums für mehr IT-Sicherheit sorgt derzeit in der Verkehrsbranche für Unruhe. Mit der Novelle der sogenannten BSI-KritisV nimmt das BMI jetzt auch die IT-Sicherheit in kritischen Infrastrukturen des Verkehrs- und Logistiksektor in den Blick. Es versucht anhand von Schwellenwerten, die für die Versorgungssicherheit der Bevölkerung wichtigen Unternehmen zu identifizieren.

Die betroffenen Unternehmen werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bevorzugt über Hackerangriffe und andere Gefahren für ihre IT informiert; andererseits werden sie verpflichtet, ihre IT-Sicherheit mindestens alle zwei Jahre auditieren zu lassen, kritische Vorfälle zu melden und eine ständige Kontaktstelle einzurichten. Grundlage ist das 2015 verabschiedete IT-Sicherheitsgesetz.

Niedrige Schwellenwerte angesetzt

Unter anderem stellt sich das BMVI folgende Schwellenwerte vor:

  • Alle Autobahnen
  • Kommunale Verkehrsleitzentralen für mehr 500.000 Einwohner
  • Schienennetz, sofern in TEN-V enthalten
  • Bahnhöfe der Kategorie 1
  • Eisenbahnverkehrsunternehmen ab 8,2 Mio. Zug-km/Jahr (Personenverkehr) oder 730 Mio. tkm
  • Seeschifffahrtsunternehmen ab 140.000t
  • Binnenwasserstraßen ab Klasse VIa
  • Binnenschifffahrtsunternehmen ab 430.000t/Jahr
  • ÖPNV-Betriebe ab 58,5 Mio. Beförderungsfälle
  • Logistikzentren ab 17,5 Mio. Sendungen
  • Flughäfen und Luftverkehrsgesellschaften ab 1,35 Mio. Passagieren/Jahr
  • Flugsicherung ab 17.500 Flugbewegungen/Jahr
  • Umschlaganlagen Straße ab 12,5 Mio. t/Jahr
  • Umschlaganlagen Schiene ab 11,5 Mio. t/Jahr
  • Umschlaganlagen Luftfracht ab 27.770 t/Jahr
Kritik an fehlendem Branchenverständnis

Übereinstimmend wird in der Branche bemängelt, dass die Substitutierbarkeit zwischen Unternehmen und Verkehrsträgern anscheinend überhaupt nicht berücksichtigt worden ist. Die Substitutierbarkeit sei gemäß europäischen IT-Sicherheits-Richtlinie, auf der das deutsche IT-Sicherheitsgesetz beruht, zwingend zu berücksichtigen, kritisiert der VDV in seiner Stellungnahme.

In der Güterverkehrsbranche wird bezweifelt, ob die Schwellenwerte sachgemäß sind. Eine Zahl wie „Sendungen“ sei wenig aussagekräftig handhabbar – es könne sich um Pakete, Stückgutpaletten oder noch größere Einheiten handeln.

Der Binnenschifffahrtsverband BDB bezweifelt, dass die Binnenschifffahrt überhaupt für die Versorgungssicherheit der Bevölkerung kritisch ist, weil fast ausschließlich Vorprodukte transportiert werden.

Bürokratielasten unterschätzt

Der VDV zieht außerdem die Annahmen zu den Bürokratielasten in Zweifel: Das BMI setzt je Unternehmen im Durchschnitt sieben an das BSI meldepflichtige Vorfälle an, die einen Aufwand pro Meldung in Höhe von 660 EUR verursachen. Der VDV hingegen fordert, auch die Kosten für die Auditierung zu berücksichtigen: Das sind nach seiner Einschätzung für jede kritische Infrastruktur 80.000 EUR Vergütung für das Auditierungsunternehmen plus 160.000 EUR für die unternehmensinterne Vor- und Nachbereitung. (roe)

Schreibe einen Kommentar