Aufsatz : „Corona-Ferien“ für Kritische Infrastrukturen? : aus der RDV 5/2020, Seite 237 bis 240
– Folgen von vorübergehenden und pandemiebedingten Unterschreitungen der jeweiligen KRITIS-Schwellwerte –
Die Corona-Pandemie hat nachhaltigen Einfluss auf alle Lebens- und Wirtschaftsbereiche. Viele Unternehmen mussten ihre Betriebstätigkeit reduzieren.[1] Selbst einige Krankenhäuser meldeten Kurzarbeit an, da sie einen Großteil ihrer Kapazitäten präventiv für die Behandlungen von Covid19-Patienten freigemacht und die Zahl der übrigen Behandlungen reduziert haben.[2] Dies wirft bei Betreibern sogenannter Kritischer Infrastrukturen (KRITIS) im Sinne des § 2 Abs. 10 BSIG[3] die Frage auf, ob sie bei Unterschreitung gewisser Schwellen ihren KRITIS-Status verlieren.
I. Was sind KRITIS?
Als KRITIS im Sinne des BSIG gelten „Einrichtungen, Anlagen oder Teile davon, die […] von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“ Näheres bestimmt die BSI-KritisV.[4] Dort sind die jeweiligen Anlagen genannt und entsprechende Schwellwerte zugeordnet. Wird der Schwellwert erreicht bzw. überschritten, gilt eine Anlage als KRITIS. Für Krankenhäuser liegt der Schwellwert nach Anhang 5 Teil 3 Nr. 1 BSI-KritisV bei 30.000 vollstationären Fällen pro Jahr. Aufgrund der Pandemie-Situation könnte die Fallzahl bei manchem KRITIS-Krankenhaus unter den Schwellwert fallen. Auch bei anderen KRITIS, deren Schwellenwerte in der BSIKritisV an veränderlichen Werten (z.B. Umsatz oder Produktionsausstoß) orientiert sind, könnte es zu Schwellwertunterschreitungen kommen.
1. Folgen der Schwellwertunterschreitungen
Damit stellt sich die Frage, was die Folge dieser Schwellwertunterschreitung wäre. Dies soll am Beispiel der Krankenhäuser näher beleuchtet werden. Für Krankenhäuser führt die Deutsche Krankenhausgesellschaft (DKG) aus: „In den Fällen, in denen ein Krankenhaus, das bisher als kritische Infrastruktur galt, den Schwellenwert im Vorjahr unterschreitet, entfallen die Nachweis- und Meldepflichten sofort. Eine Nachweispflicht entsteht danach auch frühestens wieder nach zwei Jahren als kritische Infrastruktur.“[5]
Diese Aussage erscheint zunächst naheliegend, da erst aus der Überschreitung von bestimmten Schwellwerten die Bedeutung einer Anlage für das Gemeinwesen abgeleitet wird. Jedoch sind die Regelungen der BSI-KritisV weniger eindeutig. So regelt Anhang 5 Teil 1 Nr. 2 der BSI-KritisV zwar, ab wann eine Anlage im Gesundheitsbereich erstmals nach Überschreitung der Schwellwerte als KRITIS gilt. Eine Regelung dazu, ab wann eine Anlage nach dem Unterschreiten der Schwellwerte nicht mehr KRITIS ist, fehlt jedoch. Man könnte daraus folgern, dass die BSI-KritisV eine Einbahnstraße in die KRITIS-Eigenschaft darstellt, aus der es kein Zurück mehr gibt. Daher ist ein Blick auf die verschiedenen Regelungen angebracht.
Ausgangspunkt für die Bestimmung der KRITIS-Eigenschaft ist neben dem § 2 Abs. 10 BSIG vor allem § 6 Abs. 6 BSI-KritisV. Danach sind KRITIS Anlagen oder Teile davon, die einer der in Anlage 5 Teil 3 Spalte B genannten Kategorien zuzuordnen sind und den Schwellwert nach Spalte D erreichen oder überschreiten. Das legt nahe, dass die in Anlage 5 Teil 3 Spalte B Nr. 1 genannten Krankenhäuser nur dann KRITIS sind, wenn sie den Schwellwert von 30.000 Behandlungen nach Spalte D mindestens erreichen. Liegen sie darunter, so wären sie nicht KRITIS. Allerdings spricht Anhang 5 Teil 1 Nr. 2 BSI-KritisV davon, dass eine Anlage „[…] ab dem 1. April […]“ des Jahres als KRITIS „gilt“, das auf das Jahr folgt, in dem sie den „[…] Schwellenwert erstmals erreicht oder überschreitet […]“. Entscheidend sind hier vor allem zwei Wörter: „gilt“ und „erstmals“. Die Verwendung des Wortes „erstmals“ legt sprachlich nahe, dass es tatsächlich nur auf die erstmalige Überschreitung des Schwellwertes ankommt. Ist diese einmal erfolgt, gilt die Anlage ab diesem Zeitpunkt als KRITIS und auf die Zahlen der Folgejahre käme es danach nicht mehr an. Denn hätte es auf die jeweils aktuellen Zahlen des Vorjahres ankommen sollen, hätte der Verordnungsgeber formulieren können, dass eine Anlage KRITIS ist, wenn sie im jeweiligen Vorjahr die relevanten Schwellwerte überschritten hat. Das hat er nicht getan.
In diese Richtung deutet auch die Verwendung des Wortes „gilt“. Denn damit wird oft eine gesetzliche Fiktion zum Ausdruck gebracht, die sich von den tatsächlichen Umständen löst.[6] Sie würde hier bedeuten, dass der Verordnungsgeber eine Anlage als KRITIS behandelt wissen will, wenn sie den Schwellenwert einmal überschritten hat, selbst wenn sie den Schwellenwert später wieder unterschreitet. Solche gesetzlichen Fiktionen dienen meist der Vereinfachung, hier z.B. um ständige Statusänderungen der Anlagen bei Schwankungen der Versorgungskennzahlen zu verhindern. Der Wortlaut des Anhang 5 Teil 1 Nr. 2 BSI-KritisV legt daher nahe, dass Anlagen ihren einmal erlangten KRITIS-Status nicht verlieren können.
Allerdings verpflichtet Anhang 5 Teil 1 Nr. 3 BSI-KritisV die Betreiber, den Versorgungsgrad ihrer Anlagen für das Vorjahr bis zum 31.3. eines Jahres zu ermitteln. Weder der Wortlaut der Nr. 3 noch die Verordnungsbegründung lassen erkennen, dass der Verordnungsgeber diese Pflicht nur Betreibern von Nicht-KRITIS auferlegen wollte. Bei der oben dargestellten Lesart der Nr. 2 würden KRITIS-Betreiber dann aber mit einer unnötigen Pflicht belastet, da sich am Status ihrer Anlagen nichts mehr ändern kann. Damit stellt sich die Frage, wie der Widerspruch zum Wortlaut der Nr. 2 aufzulösen ist. Es spricht vieles dafür, dass es sich in Nr. 2 eher um eine redaktionelle Ungenauigkeit als um eine bewusste Regelungsintention handelt. Dafür spricht zum einen die Begründung der Verordnungsentwürfe zur BSI-KritisV. Demnach sollten Anlagen als kritisch gelten „soweit sie den im jeweiligen Anhang aufgeführten Schwellenwert […] erreichen oder überschreiten.“[7] Das Wort „soweit“ impliziert, dass sie nur dann KRITIS sein sollen, solange sie die Schwellwerte überschreiten. Anderenfalls wäre eher ein „wenn“ oder „sobald“ verwendet worden. Das entspricht auch eher der Intention des § 6 Abs. 6 BSI-KritisV selbst, der ebenfalls nur darauf abstellt, dass Anlagen „[…]den Schwellwert nach Anhang 5 Teil 3 Spalte D erreichen oder überschreiten.“ Ohne dass es darauf ankäme, ob dies „erstmals“ oder wiederholt erfolgt. Diese Lesart würde sich mit dem Regelungszweck von § 2 Abs. 10 BSIG decken. Denn es ging nicht darum, alle Betreiber eines Sektors oder einer Branche den Anforderungen für KRITIS zu unterwerfen, sondern eben nur solche, die für das Funktionieren des Gemeinwesens und die Versorgung der Bevölkerung relevant sind, weil sie einen hohen Versorgungsgrad aufweisen – also bestimmte Schwellen überschreiten.[8] Sinkt ihr Versorgungsgrad, so sinkt ihre Relevanz für die Versorgung der Bevölkerung und sie sind bei Unterschreiten der Schwellwerte nicht mehr KRITIS.
2. Maßgeblicher Zeitraum und –punkt
Voraussetzung ist, dass eine Anlage die Schwellenwerte bezogen auf das vorangegangene Kalenderjahr unterschreitet. Ungeachtet der redaktionellen Ungenauigkeiten legen die Regelungen in Anhang 5 Teil 1 Nr. 2 und 3 BSI-KritisV jedenfalls fest, dass für die Ermittlung die Kennzahlen des vorangegangenen Kalenderjahres relevant sind. Der Verlust der KRITIS-Eigenschaft tritt dann unmittelbar zum Beginn des Folgejahres ein und nicht erst zum 1.4., denn die Stichtagsregelung in Anhang 5 Teil 1 Nr. 2 BSI-KritisV legt nur fest, ab wann ein Unternehmen KRITIS wird oder weiterhin bleibt, aber eben nicht, ab wann es diese Eigenschaft wieder verliert. Der Zeitraum bis 31.03. des Folgejahres in Nr. 3 ist den Betreibern aus Verhältnismäßigkeitsgründen bei Erlangen der KRITIS-Eigenschaft zuzugestehen, um die relevanten Versorgungskennzahlen zu ermitteln und sich auf die daran anknüpfenden Pflichten vorzubereiten. Für eine Entlastung von diesen Pflichten bedarf es solcher Übergangszeiten jedoch nicht.
3. Unmittelbare Rechtsfolgen des Wegfalls
Mit dem Wegfall der KRITIS-Eigenschaft einer Anlage werden deren Betreiber von den Pflichten zur Absicherung ihrer IT, zur Meldung von Störungen und zum Vorhalten einer Kontaktstelle aus §§ 8a ff. BSIG frei.
Fraglich ist indes, ob die Betreiber noch den Nachweis der Absicherung im Sinne des § 8a Abs. 1 BSIG für die vergangenen Zeiträume erbringen müssen, in denen ihre Anlage KRITIS war. Hintergrund ist, dass die Betreiber nach § 8a Abs. 3 BSIG die Erfüllung der Anforderungen des Abs. 1 mindestens alle 2 Jahre nachzuweisen haben. Diese Pflicht kann also bereits in dem Zeitraum entstanden sein, in dem eine Anlage noch KRITIS war. Für Betreiber, die diese Pflicht noch nicht erfüllt haben, stellt sich die Frage, ob sie mit der KRITIS-Eigenschaft untergeht oder für den bereits abgeschlossenen Zeitraum fortbesteht.
Die Nachweispflicht bezieht sich darauf, dass die notwendigen Absicherungsmaßnahmen für die IT ergriffen wurden, die für die Funktionsfähigkeit einer KRITIS maßgeblich sind. Gesetzlicher Anknüpfungspunkt der Pflicht ist also das Vorhandensein einer solchen KRITIS – also einer Anlage, die den Schwellenwert überschreitet.[9] Es ergeben sich auch keine Anhaltspunkte dafür, dass diese Nachweise für bestimmte abschließende Jahre zu erbringen sind – wie das z.B. für die Steuererklärung nach § 25 Abs. 3 EStG gilt. Hätte der Gesetzgeber dies gewollt, hätte er die Betreiber verpflichten können, die Nachweise für bestimmte 2-Jahreszeiträume zu erbringen, in denen ihre Anlagen KRITIS sind. Dies hat er jedoch aus guten Gründen nicht getan. Denn der Nachweis ist kein Selbstzweck. Vielmehr flankiert er nur die Absicherungspflicht aus § 8a Abs. 1, um überprüfen zu können, ob die IT auch tatsächlich abgesichert wurde – also diesbezüglich keine Risiken für die Versorgungssicherheit der Bevölkerung bestehen. Wenn aber die KRITIS-Eigenschaft und mit ihr schon die Absicherungspflicht wegfällt, besteht kein Grund, die Nachweispflicht für die Vergangenheit fortbestehen zu lassen. Dies wäre eine bloße Förmelei, die zwar hohe Aufwände verursacht, aber keinen sinnvollen Zweck mehr erfüllt. Daher muss die Nachweispflicht bezüglich einer KRITIS – auch für vergangene Zeiträume – mit dem Wegfall der KRITIS-Eigenschaft ebenfalls untergehen.
4. Folgen im Fall eines Wiedererreichens/-überschreitens der Schwellenwerte
Wenn eine Anlage in einem späteren Jahr wieder die Schwellenwerte nach Anhang 5 Teil 3 Spalte D BSI-KritisV erreicht oder überschreitet, ist sie gem. § 6 Abs.6 i.V.m. Anhang 5 Teil 1 Nr. 2 BSI-KritisV ab dem 1.4. des Folgejahres wieder KRITIS. Wie bereits oben dargestellt, kommt es hierbei entgegen des Wortlautes der Nr. 2 nicht darauf an, ob diese Schwellwertüberschreitung „erstmals“ erfolgt, da es sich dabei um einen Redaktionsfehler handelt.
Aus der KRITIS-Eigenschaft folgen auch wieder die Pflichten zur Absicherung der IT (§ 8a Abs. 1 BSIG) zum Nachweis der Absicherung (§ 8a Abs. 3), zur Benennung einer Kontaktstelle (§ 8b Abs. 3 BSIG) und zur Meldung von Störungen (§ 8b Abs. 4 BSIG). Für die Absicherungspflicht sieht § 8a Abs. 1 BSIG eine Übergangsfrist von 2 Jahren ab Inkrafttreten der BSI-KritisV vor, die jedoch bereits abgelaufen ist. Die Pflicht zur Absicherung gilt daher grundsätzlich für alle Betreiber, sobald eine Anlage KRITIS ist. Eine weitere Übergangsfrist ab Erlangen der KRITIS-Eigenschaft ist nicht vorgesehen. In deren Genuss kamen nur die Betreiber, die in den ersten Jahren der neuen Regelungen bereits KRITIS betrieben haben. Angesichts der vielen Unwägbarkeiten und Umsetzungsfragen bei einer neuen Regelung dürfte dies auch angemessen und notwendig gewesen sein. Betreiber neuer KRITIS profitieren lediglich von einer „kleinen Umsetzungsfrist“ durch Anlage 5 Teil 1 Nr. 2 BSI-KritisV. Denn obwohl die Schwellenwerte des Kalenderjahres relevant sind, gilt eine Anlage erst ab dem 1.4. des Folgejahres als KRITIS. Für die bloße Ermittlung der Versorgungskennzahlen alleine wäre ein Zeitraum von 3 Monaten sehr großzügig bemessen. Das Fehlen einer gesetzlichen Schonfrist für neue KRITIS in §§ 8a ff BSIG wird jedoch auch auf der Rechtsfolgenseite zu berücksichtigen sein. So wird man Hinblick auf völlig neue KRITIS nicht erwarten können, dass alle Maßnahmen i.S.d. § 8a Abs. 1 BSIG sofort umsetzbar sind. Je nach KRITIS sind dafür umfangreiche Planungen und Umsetzungsmaßnahmen nötig, die einige Zeit in Anspruch nehmen. Dies wird das BSI bei seinen Aufsichtsmaßnahmen unter dem Gesichtspunkt der Verhältnismäßigkeit berücksichtigen müssen. Betreibern völlig neuer KRITIS wird dabei sicherlich mehr Zeit zuzugestehen sein als Betreibern von Anlagen, die bereits früher KRITIS waren. Denn viele Maßnahmen fangen dann nicht bei Null an. Die Betreiber können auf alte Unterlagen und Maßnahmen zurückgreifen. Grob dürfte sich sagen lassen: Je weniger Zeit seit dem letzten Zeitraum als KRITIS vergangen ist, desto weniger „Schonzeit“ ist für die konkrete KRITIS geboten.
In Bezug auf die Nachweispflicht nach § 8a Abs. 3 BSIG dürfte ähnliches gelten wie für die Absicherungspflicht selbst. Da die Betreiber nach den „Corona-Ferien“ nicht bei Null anfangen, ist es ihnen auch zumutbar, den Nachweis der Absicherung zeitnah zu erbringen. Anders als die DKG annimmt,[10] entsteht die Nachweispflicht daher nicht erst wieder nach zwei Jahren. Vielmehr sieht § 8a Abs. 3 BSIG vor, dass die Betreiber die Umsetzung der Maßnahmen nach Abs. 1 „mindestens alle 2 Jahre“ zu nachzuweisen haben. Der Wortlaut der Norm lässt also auch eine kürzer als 2 Jahre bemessene Nachweisfrist zu. Bei KRITIS, die vor einer Unterbrechung schon früher einmal KRITIS waren, wird man eine solche kürzere Frist je nach konkreter Fallgestaltung annehmen können. Das gilt insbesondere in den Fällen, in denen die Unterbrechung nur von verhältnismäßig kurzer Dauer ist. In diesem Fällen kann das BSI als Aufsicht also durchaus bereits vor Ablauf der 2 Jahre die Erbringung der Nachweise gem. § 8a Abs. 3 BSIG anordnen und diese Anordnung mit den Mitteln des Verwaltungszwangs durchsetzen.
Hinsichtlich der Pflichten aus § 8b Abs. 3 und Abs. 4 BSIG sind keine Übergangszeiten nötig, da sie leicht zu erfüllen sind. Mit der Wiedererlangung der KRITIS-Eigenschaft müssen die Betreiber die Benennungs- und Meldepflichten sofort vollumfänglich erfüllen.
II. Fazit
In bestimmten Bereichen kann es durch die Beschränkungen durch die Corona-Pandemie in der Tat zu Rückgängen der Versorgungskennzahlen kommen, in deren Folge eine Anlage nicht mehr als KRITIS im Sinne des § 2 Abs. 10 BSIG zu qualifizieren ist. Ihre Betreiber haben die KRITISPflichten aus §§ 8a ff. BSIG dann nicht mehr zu erfüllen. Dies betrifft Absicherungs-, Melde- und Nachweispflichten. Sobald die Schwellenwerte der Versorgungskennzahlen jedoch in den Folgejahren wieder überschritten werden, entstehen die Pflichten erneut. Für Anlagen, die in der Vergangenheit bereits einmal KRITIS waren, werden die Zeiträume, die die zuständige Aufsichtsbehörde den Betreibern zur Erfüllung der Absicherungs- und Nachweispflichten zugestehen muss, kürzer sein als bei Anlagen, die noch nie KRITIS waren. Betreiber, die sich über „Corona-Ferien“ freuen, sollten sich darauf einstellen, die KRITIS-Pflichten nach erneutem Überschreiten der Schwellenwerte schnellstmöglich wieder zu erfüllen.
Steve Ritter leitet das Referat IT-Sicherheit und Recht im Bundesamt für Sicherheit in der Informationstechnik. Der Beitrag gibt ausschließlich seine private Auffassung wieder.
[1]Https://www.br.de/nachrichten/wirtschaft/corona-vw-will-produktionweitgehend-einstellen.
[2]Https://www.spiegel.de/wirtschaft/unternehmen/trotz-corona-pandemie-warum-kliniken-jetzt-kurzarbeit-anmelden-a-3dc61bc9-fb12-4298-8022-bb4c2be39d7d.
[3] BSI-Gesetz vom 14.08.2009 (BGBl. I S. 2821), das zuletzt durch Art. 13 des Gesetzes vom 20.11.2019 (BGBl. I S. 1626) geändert worden ist.
[4] BSI-Kritisverordnung vom 22.04.2016 (BGBl. I S. 958), die durch Art. 1 der Verordnung vom 21.06.2017 (BGBl. I S. 1903) geändert worden ist
[5] Krankenhäuser als Kritische Infrastrukturen – Umsetzungshinweise der Deutschen Krankenhausgesellschaft vom 19.12.2017, S. 12 – abrufbar unter https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT-Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/2017_12_19_483_ITSiG_Kritis_Umsetzungshinweise_BSIG_v0.9.pdf.
[6] Vgl. Larenz/Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl., S. 83 f.
[7] So der RefE zur BSI-KritisV, S. 2 (abrufbar unter: https://www.bmi.bund.de/SharedDocs/downloads/DE/gesetztestexte/gesetztesentwuerfe/kritis-vo-entwurf.pdf) und die erste Änderungsverordnung zur BSIKritisV, S. 37 (abrufbar unter https://www.bmi.bund.de/SharedDocs/downloads/DE/gesetztestexte/gesetztesentwuerfe/referentenentwurfzur-aenderung-kritis-vo.pdf).
[8] Vgl. Gabel/Heinrich/Kiefner-Wimmer/Mechler, Rechtshandbuch CyberSecurity, Kap. 5 Rn. 12 f.
[9] Vgl. zum strikten Anlagenbezug auch Kipker-Beucher/Fromageau, Cybersicherheit, Kap. 12 Rn. 40.
[10] Krankenhäuser als Kritische Infrastrukturen – Umsetzungshinweise der Deutschen Krankenhausgesellschaft vom 19.12.2017, S. 12.