Monat: April 2020

Veröffentlicht am

IT: Ihr Vertragspartner ist KRITIS?

Werk- und Dienstleister der IT-Branche für kritische Infrastrukturen stehen vielen Regelwerken gegenüber, die ihr Vertragspartner erfüllen muss. In den Sektoren

  • Energie,
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr,
  • Gesundheit,
  • Wasser und Ernährung,
  • Finanz- und Versicherungswesen

sind ab einer gewissen Unternehmensgröße des Kunden von ihm Sicherheitsvorkehrungen (u.a.) im Hinblick auf die IT zu treffen. Was bedeutet das für den Vertragspartner:

Wie sonst im Werkvertragsrecht, wenn nichts abweichendes geregelt ist, gilt es (mindestens) den Stand der Technik zu erreichen. Für die Betreiber kritischer Infrastrukturen gibt es dazu spezielle Anforderungen. Die Basis der KRITIS-Einordnung und der Pflichten sind das IT-Sicherheitsgesetz und die Rechtsverordnung dazu:
IT Sicherheitsgesetz
Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV)

Branchenspezifische Sicherheitsstandards (B3S) spielen eine besondere Rolle als Maßstab des zu erfüllenden Sicherheitslevels/des geforderten Standes der Technik. Einige B3S finden sie hier:
B3S Verzeichnis

Die Unternehmensführung des Vertragspartners eines Unternehmens im Bereich kritischer Infrastrukturen soll vorsorglich – zur Meinung von Rechtsstreitigkeiten – bei Vertragsannahme und der Ausführung davon ausgehen, dass die „eingekauften“ Leistungen zur Erfüllung der KRITIS-Pflichten tauglich sind. Beide Vertragsparteien müssen sich über die einschlägigen Normen bewusst werden, z.B. auch aus DIN, ISO, DKE, ISO/IEC oder abzuleiten aus B3C.

Zu beachten ist, dass spezielle Bereiche wie der TK-Netzbetrieb Sonderregelungen unterliegen. Dazu ist auf die IT-Sicherheitskataloge der Bundesnetzagentur hinzuweisen:
Sicherheitskataloge BNA

Dazu zählt z.B. der IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz. In dessen Rahmen fällt die Vorgabe, dass der Anlagenbetreiber die Konformität seines Informationssicherheits-Managementsystem (ISMS) mit den Anforderungen dieses IT-Sicherheitskatalogs durch ein Zertifikat einer akkreditierten Zertifizierungsstelle nachweisen muss. Im Zitat:

Dementsprechend haben Betreiber von Energieanlagen, die durch die BSI- Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, ein ISMS zu implementieren, das den Anforderungen der DIN EN ISO/IEC 27001 in der jeweils geltenden Fassung genügt.

Zum Standard: Abstract in EN

Veröffentlicht am

Künftiger Differenzierungsbedarf bei Corona-Regelungen

Zahlreiche Unternehmer fühlen sich durch die Corona-Regelungen in ihrer Freiheit eingeschränkt und sehen den Bestand der Betriebe gefährdet. Es geht rechtlich um den Schutzgedanken, der in den Artikeln 12 und Art. 14 des Grundgesetzes festgeschrieben ist, im Einzelnen um das „Recht am eingerichteten und ausgeübten Gewerbebetrieb“.

Tatsächlich bestehen an der Grundlage der Corona-Verordnung der Regierung des Landes Baden-Württemberg Zweifel. Massive Eingriffe in Grundrechte von Bürgern stehen in der Demokratie berechtigterweise unter dem Parlamentsvorbehalt. Der Verwaltungsgerichtshof Mannheim hat in einem einstweiligen Verfahren Bedenken an der Verordnungsgrundlage geäußert. Er entscheidet gemäß § 4 des Ausführungsgesetzes zur Verwaltungsgeichtsordnung Baden-Württemberg über Normenkontrollanträge:

§ 4 Normenkontrollverfahren
DER Verwaltungsgerichtshof entscheidet in der Besetzung von fünf Richtern im Rahmen seiner Gerichtsbarkeit über die Gültigkeit von Satzungen und Rechtsverordnungen der in § 47 Abs. 1 Nr. 1 VwGO genannten Art sowie von anderen im Range unter dem Landesgesetz stehenden Rechtsvorschriften.

Auch wenn bisherige juristische Angriffe gegen die Verordnung im einstweiligen Rechtsschutz wenig erfolgreich waren, ist der Zeitablauf zu berücksichtigen und damit die wachsende Möglichkeit der Exekutive, den Grundrechen zur Geltung zu verhelfen. Sachverhalte sind zweckorientiert, evtl. branchenspezifisch, aufzuarbeiten und aktives Einrichten von Gesundheitssicherungen (auch organisatorische) durch Unternehmer muss erkannt werden und entsprechende Ausnahmen von Pauschalverboten ermöglicht werden. Die Verhältnismäßigkeit des Eingriffs in Grundrechte erfordert, dass staatlich angeordnete Maßnahmen angemessen sind. Maßnahmen mit präventiver Wirkung sind dem Gesetzgeber zum Gesundheitsschutz zwar möglich. Wenn der Präventionszweck aber anders sichergestellt werden kann, muss die Verordnung eine hinreichende Öffnungsklausel vorsehen. Sonst könnte das Unrecht durch den Gesetzgeber zu Amtshaftungsansprüchen führen, wenn grundrechtliche Schutzpflichten durch den Gesetzgeber verletzt wurden, die dem Staat zu schützen gerade obliegen oder wenn eine evidente Pflichtverletzung vorliegt.