Werk- und Dienstleister der IT-Branche für kritische Infrastrukturen stehen vielen Regelwerken gegenüber, die ihr Vertragspartner erfüllen muss. In den Sektoren
- Energie,
- Informationstechnik und Telekommunikation,
- Transport und Verkehr,
- Gesundheit,
- Wasser und Ernährung,
- Finanz- und Versicherungswesen
sind ab einer gewissen Unternehmensgröße des Kunden von ihm Sicherheitsvorkehrungen (u.a.) im Hinblick auf die IT zu treffen. Was bedeutet das für den Vertragspartner:
Wie sonst im Werkvertragsrecht, wenn nichts abweichendes geregelt ist, gilt es (mindestens) den Stand der Technik zu erreichen. Für die Betreiber kritischer Infrastrukturen gibt es dazu spezielle Anforderungen. Die Basis der KRITIS-Einordnung und der Pflichten sind das IT-Sicherheitsgesetz und die Rechtsverordnung dazu:
IT Sicherheitsgesetz
Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV)
Branchenspezifische Sicherheitsstandards (B3S) spielen eine besondere Rolle als Maßstab des zu erfüllenden Sicherheitslevels/des geforderten Standes der Technik. Einige B3S finden sie hier:
B3S Verzeichnis
Die Unternehmensführung des Vertragspartners eines Unternehmens im Bereich kritischer Infrastrukturen soll vorsorglich – zur Meinung von Rechtsstreitigkeiten – bei Vertragsannahme und der Ausführung davon ausgehen, dass die „eingekauften“ Leistungen zur Erfüllung der KRITIS-Pflichten tauglich sind. Beide Vertragsparteien müssen sich über die einschlägigen Normen bewusst werden, z.B. auch aus DIN, ISO, DKE, ISO/IEC oder abzuleiten aus B3C.
Zu beachten ist, dass spezielle Bereiche wie der TK-Netzbetrieb Sonderregelungen unterliegen. Dazu ist auf die IT-Sicherheitskataloge der Bundesnetzagentur hinzuweisen:
Sicherheitskataloge BNA
Dazu zählt z.B. der IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz. In dessen Rahmen fällt die Vorgabe, dass der Anlagenbetreiber die Konformität seines Informationssicherheits-Managementsystem (ISMS) mit den Anforderungen dieses IT-Sicherheitskatalogs durch ein Zertifikat einer akkreditierten Zertifizierungsstelle nachweisen muss. Im Zitat:
Dementsprechend haben Betreiber von Energieanlagen, die durch die BSI- Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, ein ISMS zu implementieren, das den Anforderungen der DIN EN ISO/IEC 27001 in der jeweils geltenden Fassung genügt.
Zum Standard: Abstract in EN