07.06.2017

Politik lenkt bei der Verordnung über Kritische Infrastrukturen ein

„Anzahl der Sendungen“, „Leitzentralen der Logistik“ – gegen Bürokratiemonster wie diese hatte die Verkehrs- und Logistikbranche hartnäckig gekämpft. Dabei ging es um die Verhandlungen über die Verordnung über Kritische Infrastrukturen. Die Branche hatte Erfolg. Diese Bürokratiemonster finden sich in der Verordnung nicht wieder.

Verordnung Kritische Infrastrukturen verabschiedet

Verordnung über Kritische Infrastrukturen nach zähen Verhandlungen verabschiedet

Noch vor Pfingsten 2017 hat das Bundeskabinett die Verordnung über Kritische Infrastrukturen verabschiedet. Einem Bericht der „DVZ“ zufolge haben sich damit für die Verkehrs- und Logistikbranche die zähen Verhandlungen und der Widerstand gegen bestimmte Kategorisierungen gelohnt.

Das federführende Bundesinnenministerium (BMI) hat entgegen dem letzten Entwurf die Briefzentren aus der Verordnung herausgenommen. Auch entfielen so umstrittene Begriffe wie „Anzahl der Sendungen“ oder „Leitzentralen der Logistik“.

Fracht in Tonnen

Ein Unternehmen, so lautete das Argument der Branche, erhebe für eine seiner Anlagen nur die Anzahl der Sendungen. Die Mengenangaben erfolgten als Fracht in Tonnen.

Der Leitzentralen-Begriff wurde jetzt präziser gefasst als „Anlage oder System zum Betrieb eines Logistikzentrums sowie Anlage oder IT-System zur Logistiksteuerung oder Verwaltung in den Segmenten Massengut-, Ladungs-, Stückgut-, Kontrakt-, See- oder Luftfrachtlogistik“.

Statt 408 zählt das BMI insgesamt nun nur noch 196 Anlagen, die unter die Verordnung fallen. Am stärksten ist ihre Zahl im Bereich Logistik geschrumpft: von vormals 142 auf 4 Anlagen.

Berichtspflicht für Unternehmen

Mit der Verordnung über Kritische Infrastrukturen setzt das BMI eine Vorgabe des Bundestags vom Sommer 2015 zum IT-Sicherheitsgesetz um. Danach müssen Betreiber von Anlagen, die unter die Verordnung fallen, unter anderem eine Kontaktstelle einrichten. Durch ein Auditierungsverfahren müssen sie zudem den Nachweis von IT-Mindestsicherheitsstandards führen.

Zudem müssen die Unternehmen künftig Angriffe auf ihre IT-Netze an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Das BMI schätzt, dass sich durchschnittlich sieben Vorfälle je Unternehmen ereignen können. Die Bearbeitungskosten für eine Meldung beziffert es mit 660 Euro.

Richtlinie des Europäischen Parlaments und des Rates

Die Bundesregierung hat mit dem IT-Sicherheitsgesetz und der nun verabschiedeten Verordnung eine Richtlinie des Europäischen Parlaments und des Rates umgesetzt. Mit ihr will man eine hohe gemeinsame Netz- und Informationssicherheit in der EU gewährleisten.

In der monatelangen Diskussion über die Bemessungsgrundlagen für die Transportbranche argumentierte das Bundesinnenministerium, ein ernsthafter Ausfall könne zum Teil erhebliche Einschränkungen des öffentlichen Lebens, Versorgungsengpässe sowie volkswirtschaftliche Konsequenzen nach sich ziehen.

Akzeptanz für bürokratischen Mehraufwand

„Durch präzise Umsetzungsrichtlinien gilt es jetzt, bei der Wirtschaft Akzeptanz für den bürokratischen Mehraufwand herzustellen“, zitiert der DVZ-Bericht Frank Huster, Hauptgeschäftsführer des Deutschen Speditions- und Logistikverbandes (DSLV).

Die von der Verordnung erfassten Logistikunternehmen erfüllten bereits die vom BSI empfohlenen Standards für die IT-Sicherheit. „Die Meldepflicht betroffener Unternehmen darf deshalb keine Einbahnstraße werden“, so Huster. Die Wirtschaft erwarte im Gegenzug ein funktionierendes Frühwarnsystem als Teil der staatlichen Daseinsvorsorge.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt auf seiner Homepage einen „Leitfaden Informationssicherheit“ zur Verfügung. Diesen können Sie als PDF herunterladen.

Autor: Franz Höllriegel