Der Bundesverband des Deutschen Lebensmittelhandels e.V. (BVL)

Druckversion der Seite:Meldung

IT-SiG und RechtsVO – Überregulierung verhindern

Wiederholt hatten sich BVLH und HDE dafür eingesetzt, den Lebensmittelhandel aus dem Anwendungsbereich des IT-Sicherheitsgesetzes herauszunehmen. Gestützt wurde die Forderung durch IT-Sicherheitsexperten des Handels, organisiert im EHI-Branchenarbeitskreis, die die Gefahr flächendeckender Ausfälle für die Branche als äußerst gering einstuften. Bedauerlicherweise zeigten sich jedoch weder das Bundesinnenministerium (BMI) noch der Ausschuss im Bundestag offen für die Argumente des Handels, so dass es am Ende zur Gesetzesverabschiedung kam. Jetzt richtet sich der Branchenfokus auf die Arbeiten an der Rechtsverordnung, die die mögliche Betroffenheit im Detail regeln soll.

Am 12. Juli 2015 nahm der Bundestag den Gesetzentwurf der Bundesregierung zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) an. Bereits am 24. Juli 2015 wurde das IT-Sicherheitsgesetz im Bundesgesetzblatt veröffentlicht und trat am folgenden Tag in Kraft.

Entsprechend der Regelung zählen zu den Betreibern „Kritischer Infrastrukturen“ neben den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser sowie Finanz- und Versicherungswesen auch der Sektor Ernährung, dem laut Begründung die Branchen Ernährungswirtschaft und Lebensmittelhandel zugeordnet werden.

Demnach müssen Betreiber Kritischer Infrastrukturen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Darüber hinaus wurden die Anforderungen an Anbieter von Telemediendiensten erhöht.

Die Pflicht zur Einhaltung von IT-Sicherheitsstandards („Stand der Technik“), zu denen die Betreiber per Gesetz jetzt verpflichtet werden, gilt jedoch erst zwei Jahre nach Inkrafttreten der Rechtsverordnung. Es drohen auch erst dann Bußgelder, wenn der Pflicht nicht nachgekommen wird.

Hingegen gilt die Meldepflicht für erhebliche IT-Sicherheitsvorfälle für Betreiber u.a.  aus dem Bereich Ernährung bereits dann, wenn die anstehende Rechtsverordnung in Kraft tritt, die zurzeit im BMI erarbeitet wird.

Bereits seit Inkrafttreten des IT-Sicherheitsgesetzes (ab 25. Juli 2015) haben Anbieter gewerblicher Telemediendienste (z. B. Online-Shops) - soweit technisch möglich und wirtschaftlich zumutbar - technische und organisatorische Maßnahmen nach dem „Stand der Technik“ zu ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.

Wer künftig als Betreiber einer Kritischen Infrastruktur zugeordnet werden kann, wird jedoch erst nach Verabschiedung der Rechtsverordnung konkret feststellbar sein. Die Verordnung soll hierfür messbare Kriterien (wie beispielsweise die Versorgung einer bestimmten Bevölkerungszahl mit spezifischen Leistungen) festlegen.

Vor diesem Hintergrund richten die Verbände im engen Austausch mit den IT-Sicherheitsexperten des Handels ihren Fokus bereits jetzt auf die Vorarbeiten zur Rechtsverordnung. Erste Gespräche mit den Zuständigen wurden bereits geführt. So sind der Erarbeitung messbarer Kriterien zur Bestimmung Kritischer Infrastrukturen unbedingt praxisnahe Gefährdungsszenarien zugrunde zu legen.

Mögliche Schwellenwerte sollten so festgelegt werden, dass in realistischer Betrachtung bei deren Überschreitung tatsächliche Risiken entstehen. Keinesfalls sollte die Branche mit einer weitreichenden Betroffenheit überzogen werden, die dann unnötige bürokratische Lasten auslöst, ohne das Schutzniveau tatsächlich zu erhöhen. Hierfür werden sich die Verbände weiter einsetzen.