Thema Risikomanagement Kritische Infrastrukturen
Beitrag aus dem Jahresbericht 2017 der BaFin
Betreiber im Finanzsektor: Identifizierung und Anforderungen
Große Angriffe auf die IT-Systeme von Unternehmen haben gezeigt, wie verwundbar kritische Infrastrukturen sind. Bereits 2015 – noch vor Inkrafttreten der europäischen Netz- und Informationssicherheits-Richtlinie (NIS-Richtlinie)1 – schuf der deutsche Gesetzgeber entsprechende Regelungen, die er durch das IT-Sicherheitsgesetz (IT-SIG) in das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) einfügte.
Kritische Infrastrukturen
Kritische Infrastrukturen im Sinne des BSI-Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung oder Finanz- und Versicherungswesen angehören und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit in Deutschland einträten.
In der Änderungsverordnung zur BSI-Kritis-Verordnung (BSI-KritisV)2 vom 21. Juni 2017 konkretisiert der Gesetzgeber, nach welchen Kriterien Unternehmen aus dem Finanzsektor als Betreiber einer Kritischen Infrastruktur zu qualifizieren sind.
Demnach müssen Betreiber Kritischer Infrastrukturen (Kritis-Betreiber) nach §§ 8a und 8b BSIG verschiedene Anforderungen erfüllen. Sie müssen sich selbst als Kritis-Betreiber identifizieren, indem sie eine unternehmenseigene Kontaktstelle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, die rund um die Uhr erreichbar sein muss.
Zudem haben sie mindestens alle zwei Jahre nachzuweisen, dass sie angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse getroffen haben.
Die Kritis-Verordnung identifiziert folgende Dienstleistungen im Finanzsektor als kritisch: die Bargeldversorgung, den kartengestützten und konventionellen Zahlungsverkehr im Bankensektor, die Verrechnung und Abwicklung von Wertpapier- und Derivategeschäften sowie die Vertragsverwaltungs-, Leistungs-, Schaden- und Auszahlungssysteme von Versicherern.
Gemeinsame Aufsicht über Kritis-Betreiber im Finanzsektor
Banken, Versicherer, Zahlungsinstitute und IT-Dienstleister, die als Kritis-Betreiber zu qualifizieren sind, unterliegen zugleich der Aufsicht durch das BSI und der Aufsicht durch die BaFin. Die BaFin und das BSI versuchen, etwaige Mehrbelastungen, die sich aus dieser doppelten Zuständigkeit ergeben könnten, im Rahmen des rechtlich Vertretbaren so gering wie möglich zu halten. Ziel ist es, die technische Kompetenz des BSIs und die operative Aufsichtskompetenz der BaFin im Sinne eines effizienten Ressourceneinsatzes zu bündeln.
Fußnoten: