IT-Sicherheitsverordnung deutlich nachgebessert

matthias.roeser Luft, Schiene, Straße, Wasser
  • Begrifflichkeiten treffender gefasst
  • Schwellenwerte praxisnäher und differenzierter
  • Verbände etwas erleichtert

Die Transport- und Verkehrsbranche kommt bei der Verordnung zur IT-Sicherheit kritischer Infrastrukturen (Kritis-Verordnung) mit einem blauen Auge davon. Das ergibt sich aus dem Vergleich des am Mittwoch vom Kabinett verabschiedeten Entwurfs mit dem Referentenentwurf aus dem Februar.

Begrifflichkeiten treffender gefasst

Nur noch Leitzentralen von größeren Eisenbahnverkehrsunternehmen sowie Seereedereien, sofern sie nach einem festen Fahrplan fahren, unterliegen den Regeln des IT-Sicherheitsgesetzes. In der Binnenschifffahrt gilt das nur für IT-Systeme zur Disposition von Schiffsraum. Der umstrittene Begriff der Leitzentrale wurde hier gestrichen. Dasselbe gilt für „Leitzentralen“ von Logistikumschlaganlagen und für Luftverkehrsunternehmen. Komplett aus der Verordnung gestrichen wurden Briefsortieranlagen.

Deutlich sinnhafter gefasst wurde die Definition von kritischen IT-Infrastrukturen im Straßenverkehr. Im Grunde sind nur noch Verkehrsbeeinflussungsanlagen bis hin zu kommunalen Ampelsteuerungssystemen kritisch.

Schwellenwerte praxisnäher und differenzierter

Deutlich differenzierter fallen die Schwellenwerte aus, ab denen die genannten Einrichtungen als kritisch gelten. Während zum Beispiel nach dem ersten Entwurf schon Flughafen-Abfertigungssysteme mit 1,35 Mio. Passagieren oder 27.700t Fracht als kritisch gelten sollten, liegen die Schwellen jetzt bei 20 Mio. Passagieren und 750.000t Fracht. Nur für die Flugsicherung bleibt die Schwelle bei 17.500 Flugbewegungen/Jahr.

Für Logistik und Güterverkehr wurde der von den Verbänden als völlig sachfremd gegeißelte Begriff der „Sendung“ komplett gestrichen. Maßstab sind jetzt immer Tonnen.

Im öffentlichen Straßenpersonenverkehr entscheidet jetzt in stärkerem Maße die Zahl der Fahrgäste (125 statt 58,5 Mio. Mio./Jahr), nicht mehr die Zahl der versorgten Einwohner. Damit würden zum Beispiel die Bielefelder Stadtwerke jetzt herausfallen.

Bei den Binnenwasserstraßen werden die Schwellenwerte nicht mehr an den Wasserstraßenklassen festgemacht, sondern an der darauf transportierten Gütermenge.

Verbände etwas erleichtert

Der Speditionsverband DSLV sprach in einer ersten Reaktion von einer „tragfähigen Lösung“. Hauptgeschäftsführer Frank Huster mahnte die Politik, durch präzise Umsetzungsrichtlinien bei der Wirtschaft Akzeptanz für den bürokratischen Mehraufwand herzustellen. Außerdem erwarte sie im Gegenzug für die Meldepflicht für IT-Angriffe ein funktionierendes Frühwarnsystem als Teil der staatlichen Daseinsvorsorge.

Auch das Deutsche Verkehrsforum mahnte, die Nachweisführung der Systemabsicherung verhältnismäßig zu gestalten, so dass kein „Bürokratiemonster“ entsteht. (roe)

Externer Link: Finaler Referentenentwurf Kritis-Verordnung mit Teil Transport und Verkehr