Nun hat er in einer Rechtsverordnung – der Änderungsverordnung zur BSI -Kritisverordnung (BSI-KritisV) – konkretisiert, nach welchen Kriterien Unternehmen des Sektors Finanz- und Versicherungswesen (Finanzsektor) als Betreiber einer Kritischen Infrastruktur zu qualifizieren sind. Deren Identifizierung ist noch nicht abgeschlossen. Schon jetzt lässt sich aber sagen, dass sowohl von der BaFin beaufsichtigte Unternehmen betroffen sein werden als auch Dienstleister, die IT -Services für Banken und Versicherer erbringen. Kritische Infrastrukturen im Sinne des BSI-Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung oder Finanz- und Versicherungswesen angehören und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit in Deutschland einträten. Die Betreiber Kritischer Infrastrukturen (Kritis-Betreiber) haben nach §§ 8a und 8b BSIG verschiedene Anforderungen zu erfüllen. So müssen sie sich selbst als Kritis-Betreiber identifizieren, indem sie innerhalb von sechs Monaten nach Inkrafttreten der Verordnung – Unternehmen im Finanzsektor also bis zum 22. Dezember1) – eine unternehmenseigene Kontaktstelle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, die rund um die Uhr erreichbar sein muss. Zudem haben Betreiber Kritischer Infrastrukturen mindestens alle zwei Jahre nachzuweisen, dass sie angemessene organisatorische und technische Vorkehrungen getroffen haben, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden, die für die Funktionsfähigkeit der Kritischen Infrastrukturen maßgeblich sind. Die entsprechenden Auditanforderungen definiert grundsätzlich das BSI – für den Finanzsektor jedoch in Abstimmung mit der BaFin . Die bankaufsichtlichen beziehungsweise versicherungsaufsichtlichen Anforderungen an die IT (BAIT / VAIT) befinden sich derzeit in der Abstimmung. Darüber hinaus können Kritis-Betreiber und ihre Verbände branchenspezifische Sicherheitsstandards erarbeiten, anhand deren die Unternehmen nachweisen können, dass sie den Stand der Technik einhalten. Unternehmen, welche möglicherweise als Betreiber einer Kritischen Infrastruktur in Betracht kommen, müssen dies anhand eines dreistufigen Fragenkatalogs selbst überprüfen. Falls sie alle Fragen mit Ja beantworten, so sind sie als Betreiber qualifiziert und müssen dies dem BSI – wie bereits erwähnt – durch die Benennung einer Kontaktstelle mitteilen. Die Verordnung identifiziert folgende Dienstleistungen als kritisch: die Bargeldversorgung, den kartengestützten und konventionellen Zahlungsverkehr im Bankenbereich, die Verrechnung und Abwicklung von Wertpapier- und Derivategeschäften sowie die Vertragsverwaltungs-, Leistungs-, Schaden- und Auszahlungssysteme von Versicherern. Die möglichen Anlagenkategorien sind für die einzelnen Finanzdienstleistungen im Anhang der Verordnung aufgeführt. So sind beispielsweise der Kritischen Dienstleistung „Konventioneller Zahlungsverkehr“ folgende Anlagenkategorien zugeordnet: Relevantes Bemessungskriterium für das Erreichen der Schwellenwerte ist bei Banken und Finanzmarktinfrastrukturen in erster Linie die Zahl der dienstleistungsbezogenen Transaktionen, bei Versicherern die Zahl der Leistungs- beziehungsweise Schadenfälle pro Jahr. So gilt zum Beispiel für die Anlagenkategorie „System zur Anbindung an ein Interbanken-Zahlungsverkehrssystem“ ein Schwellenwert von 100 Millionen Transaktionen pro Jahr.2) Die Verordnung enthält zwei unterschiedliche Definitionen für den Begriff des „Betreibers“ innerhalb des Finanzsektors. Für die kritischen Dienstleistungen Bargeldversorgung, kartengestützter und konventioneller Zahlungsverkehr sowie Verrechnung und Abwicklung von Wertpapier- und Derivategeschäften ist relevant, welches Unternehmen „unter Berücksichtigung der tatsächlichen Umstände“ bestimmenden Einfluss auf die Anlage hat, die zur Erbringung der kritischen Dienstleistung genutzt wird. Hingegen ist bei Versicherungsdienstleistungen relevant, welches Unternehmen „unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände“ bestimmenden Einfluss auf die Anlage hat. Diese unterschiedliche Ausgestaltung des Betreiberbegriffs wird sich aller Voraussicht nach bei der Auslagerung Kritischer IT -Dienstleistungen auswirken. Solche Auslagerungen spielen im Finanzsektor eine wichtige Rolle. Während im Hinblick auf die Kritischen Dienstleistungen von Banken und Finanzmarktinfrastrukturen der jeweilige IT -Dienstleister als Betreiber der Kritischen Infrastruktur anzusehen sein dürfte, könnten bei Versicherungsdienstleistungen die Versicherer selbst als Betreiber zu qualifizieren sein. Dies ergibt sich daraus, dass für die Beantwortung der Frage, wer beherrschenden Einfluss auf eine Anlage zur Erbringung Kritischer Versicherungsdienstleistungen hat, eine Gesamtschau der rechtlichen, wirtschaftlichen und tatsächlichen Umstände maßgeblich ist. Es kommt also – anders als bei Banken und Finanzmarktinfrastrukturen – nicht allein darauf an, welches Unternehmen die jeweilige Anlage innehat und betreibt (tatsächliche Umstände); dies ist grundsätzlich der IT -Dienstleister. Vielmehr dürfte insbesondere die Berücksichtigung der rechtlichen Umstände, namentlich der Weisungsrechte des Versicherungsunternehmens gegenüber seinem IT -Dienstleister, dazu führen, dass der Versicherer selbst als Betreiber anzusehen ist. Einige der Unternehmen, die nach den genannten Kriterien als Betreiber kritischer Infrastrukturen zu qualifizieren sind, unterliegen neben der Aufsicht durch das BSI zugleich auch der Aufsicht durch die BaFin , beispielsweise Banken und Versicherer. In diesen Fällen kommt es somit zu einer dualen Aufsicht. Es ist ein gemeinsames Anliegen von BaFin und BSI , etwaige Mehrbelastungen, die sich daraus für die betroffenen Unternehmen ergeben könnten, im Rahmen des rechtlich Vertretbaren so gering wie möglich zu halten. Beide Behörden befinden sich dazu derzeit in einem intensiven Austausch, um zeitnah eine gemeinsame Aufsichtsstrategie zu entwickeln und diese anschließend zu operationalisieren. Ziel ist es, die technische Kompetenz des BSI und die operative Aufsichtskompetenz der BaFin im Sinne eines effizienten Ressourceneinsatzes zu bündeln. Dr. Jens Gampe Dr. Sebastian Silberg BaFin -Referat für IT-Sicherheit Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen. Fußnoten: