Update für mehr Cyber-Resilienz

Das im Mai beschlossene IT-Sicherheitsgesetz 2.0 betrifft auch die chemisch-pharmazeutische Industrie.

Mit dem vom Bundestag beschlossenen IT-Sicherheitsgesetz 2.0 soll die Cyber-Resilienz der deutschen Wirtschaft weiter erhöht werden. Schon das erste IT-Sicherheitsgesetz aus dem Jahr 2015 sollte die Sicherheit informationstechnischer Systeme steigern und zum Schutz kritischer Infrastrukturen (KRITIS) beitragen. Dazu wurden sieben KRITIS-Sektoren definiert: Energie, Wasser, Informationstechnik und Telekommunikation, Ernährung, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Im Sektor Gesundheit sind Produktionsstätten für verschreibungspflichtige Arzneimittel erfasst.

Das Gesetz verpflichtet KRITIS-Betreiber auf ein definiertes Mindestmaß an IT-Sicherheit, damit Personenschäden abgewendet, das Gemeinwesen geschützt und negative Auswirkungen für alle minimiert werden. Zudem müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-kritische Vorfälle gemeldet werden.

Mehr Unternehmen meldepflichtig

Durch das IT-Sicherheitsgesetz 2.0 werden nun auch Unternehmen im besonderen öffentlichen Interesse erfasst. Dazu gehören Betriebe, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen hierzulande zählen und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Unter gewissen Voraussetzungen werden auch Zulieferbetriebe vom IT-Sicherheitsgesetz erfasst.

In einer noch zu erlassenden Rechtsverordnung sollen die maßgeblichen wirtschaftlichen Kennzahlen und die Berechnung mit Hilfe der Methodik der direkten Wertschöpfungsstaffel festgelegt werden. Der VCI wird sich in diesen Prozess einbringen und auf sachgerechte Kriterien drängen.

Störfallverordnung als Maßstab

Zusätzlich sind künftig alle Unternehmen erfasst, die Betreiber eines Betriebsbereiches der oberen Klasse nach der Störfallverordnung sind. Durch eine Intervention des VCI konnte der ursprünglich im Referentenentwurf vorgesehene und viel zu weit gehende Bezug auf die Gefahrstoffverordnung verhindert werden.

Die Störfallverordnung ist dafür da, die Allgemeinheit vor anlagenbezogenen gefährlichen Ereignissen zu schützen. So ist eine Eingrenzung auf Unternehmen mit besonderer Relevanz für die öffentliche Sicherheit und Ordnung gewährleistet. Dies betrifft etwa 2.600 Betriebe, davon rund die Hälfte aus der chemischen Industrie.

Die Bezugnahme auf die Störfallverordnung führt auch dazu, dass die dort schon bestehenden Meldeverpflichtungen im Hinblick auf Cybersicherheit nicht gedoppelt werden müssen. In diesen Unternehmen sind Störfallbeauftragte vorhanden und arbeiten immer auf dem aktuellen Stand der Sicherheitstechnik. Unnötige Bürokratie wird damit vermieden.

Nur die großen Unternehmen von erheblicher volkswirtschaftlicher Bedeutung sind zur Vorlage einer Selbsterklärung zur IT-Sicherheit verpflichtet, während diese Pflicht für die Betreiber nach der Störfallverordnung nicht besteht.

Für die großen Unternehmen von erheblicher volkswirtschaftlicher Bedeutung besteht eine Registrierungspflicht beim BSI, während den Betreibern nach der Störfallverordnung eine Registrierung freigestellt ist.

Alle Unternehmen sind dazu verpflichtet, ihre Sicherheitsvorfälle unverzüglich dem BSI zu melden, die zu Störungen geführt haben oder zu erheblichen Störungen hätten führen können.

Erfreulicherweise fallen kleine und mittlere Unternehmen nach der EU-Definition mit weniger als 250 Beschäftigten und bis zu 50 Millionen Euro Jahresumsatz nicht unter die neuen Regeln.

Service:

Mehr Details zum Thema gibt es online beim Bundesamt für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210528_IT-SiG20.html