IT-Sicherheitsgesetz – Anwendung zwingend eingrenzen
In ihrer Stellungnahme zum Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz fordern die Verbände, dass noch einmal genau geprüft wird, welche Branchen und Wirtschaftszweige tatsächlich als unmittelbar gefährdete Kritische Infrastrukturen einzustufen sind. Für den Lebensmittelhandel ist nach wie vor nicht nachvollziehbar, dass der Sektor Ernährung vollumfänglich betroffen sein soll.
Flächendeckender Ausfall weitgehend unrealistisch
Bereits in früheren Stellungnahmen hatten die Verbände nach eingehender Analyse festgestellt, dass die Gefahr flächendeckender Versorgungsengpässe aufgrund von Cyberattacken als äußerst gering eingeschätzt wird. Zwar bestehen durchaus Möglichkeiten, dass es in einzelnen Unternehmen oder Unternehmensteilen zu Störungen des Betriebes kommt. Ein flächendeckender Ausfall über längere Zeit wird aber mit Blick auf die Anbieter- und Systemvielfalt im Handel als weitgehend unrealistisch eingestuft.
Nationaler Alleingang - weit über Unionsrecht hinaus
Bestätigt wird diese Einschätzung auch durch die weitgehend finalisierte NIS-Richtlinie auf Unionsebene, die „unerlässliche Infrastrukturen“ definiert, den Sektor Ernährung jedoch eindeutig ausnimmt. Statt eine „1:1-Umsetzung“ unionsrechtlicher Vorgaben anzustreben, findet hier eine rein nationale Ausweitung des Anwendungsbereiches auf den Sektor Ernährung statt, der jedoch von der Europäischen Gesetzgebung offensichtlich als nicht regelungsrelevant eingestuft wird. Die Folgen sind massive Wettbewerbsverzerrungen im EU-Binnenmarkt zum erheblichen Nachteil heimischer Unternehmen.
Fokus auf logistische Prozesse beschränken
In der NIS-Richtlinie erfasst ist jedoch der Sektor Transport, der sich auch in den Änderungen des BSI-Gesetzes (innerhalb des IT-Sicherheitsgesetzes) als Kritische Infrastruktur wiederfindet. Mit dem Bereich „Transport von Gütern“ sind auch bereits wesentliche logistische Prozesse des Lebensmittelhandels erfasst, so dass sich hieraus eine zusätzliche Notwendigkeit ableiten lässt, den Sektor Ernährung aus dem Vorschlag zu streichen.
Nahezu alle großen Handelshäuser betroffen
Sollten notwendige Anpassungen am Verordnungsentwurf ausbleiben, wäre eine erhebliche Betroffenheit - verbunden mit einem massiven Kostenanstieg - die Folge. Unter Berücksichtigung der vorgeschlagenen Schwellenwerte würden etwa 70 Betriebsstätten in den Anwendungsbereich der Vorgaben fallen. Auf Ebene der Handelshäuser wären damit 13 Unternehmen des Lebensmittelhandels betroffen, bei denen es sich im Wesentlichen um Rechenzentren und Logistikstandorte handelt, die die vorgeschlagenen Schwellenwerte überschreiten.
Massiver Kostenanstieg mit fraglichem Mehrwert
Unabhängig von der grundlegenden Einschätzung des Regelungsvorschlages sieht der Handel in spezifischer Betrachtung die derzeit vorgeschlagenen Schwellenwerte als deutlich zu niedrig angelegt an. Die Folgen wären massive Kostenbelastungen in der Höhe von einmalig 7,35 Mio. Euro sowie jährlich wiederkehrende Kosten von 7,68 Mio. Euro für die Branche, ohne das Schutzniveau tatsächlich zu erhöhen.
Schwellenwerte dringend anpassen
In einer ergänzenden Stellungnahme - im Nachgang der Anhörung - verdeutlichten die Verbände, dass bezüglich der Schwellenwerte anstatt auf Tonnagen zwingend auf umsatzbezogene Werte der Produkte abgestellt werden sollte, da nur diese zu ermitteln sind. Auch ist die Trennung zwischen „Speisen“ und „Getränken“ nur schwer darstellbar. Damit treten Unschärfen auf, die durch eine Zusammenlegung von Speisen und Getränken in einen gemeinsamen Schwellenwert „Food“ vermieden werden könnte, was dringend gefordert wird.
Konkreten Umsetzungsvorschlägen nachkommen
Vor diesem Hintergrund schlagen die Verbände vor, den Schwellenwert für Speisen auf geschätzt 1,47 Mrd. Euro netto festzulegen. Zudem sollte der Schwellenwert für Getränke wegen des Sektors „Trinkwasser“ (Doppelerfassung) auf 0,91 Mrd. Euro netto erhöht werden. Unter Berücksichtigung von Near-Food-Produkten, die den Messbereich geschätzt um 30 Prozent ausweiten, ergibt sich ein umsatzbezogener Schwellenwert „Food“ von rd. 3 Mrd. Euro netto, der den Unternehmen die Ermittlung ihrer Betroffenheit gravierend erleichtern würde.
Zum Hintergrund
Das IT-Sicherheitsgesetz ist bereits am 25. Juli 2015 in Kraft getreten. Es sieht unter anderem vor, dass informationstechnische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von Mindestsicherheitsstandards abzusichern sind. Darüber hinaus müssen erhebliche IT-Vorfälle an das BSI-Bundesamt gemeldet werden. Mit dem Entwurf einer Durchführungsverordnung sollen die Regelungen jetzt umgesetzt werden, wonach die Bewertung einer Infrastruktur als kritisch nach einer vorgeschlagenen Methodik erfolgen soll.