IT: Ihr Vertragspartner ist KRITIS? – Rechtsanwalt Thorsten Fink, LL.M.

Werk- und Dienstleister der IT-Branche für kritische Infrastrukturen stehen vielen Regelwerken gegenüber, die ihr Vertragspartner erfüllen muss. In den Sektoren

Energie,
Informationstechnik und Telekommunikation,
Transport und Verkehr,
Gesundheit,
Wasser und Ernährung,
Finanz- und Versicherungswesen

sind ab einer gewissen Unternehmensgröße des Kunden von ihm Sicherheitsvorkehrungen (u.a.) im Hinblick auf die IT zu treffen. Was bedeutet das für den Vertragspartner:

Wie sonst im Werkvertragsrecht, wenn nichts abweichendes geregelt ist, gilt es (mindestens) den Stand der Technik zu erreichen. Für die Betreiber kritischer Infrastrukturen gibt es dazu spezielle Anforderungen. Die Basis der KRITIS-Einordnung und der Pflichten sind das IT-Sicherheitsgesetz und die Rechtsverordnung dazu:
IT Sicherheitsgesetz
Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV)

Branchenspezifische Sicherheitsstandards (B3S) spielen eine besondere Rolle als Maßstab des zu erfüllenden Sicherheitslevels/des geforderten Standes der Technik. Einige B3S finden sie hier:
B3S Verzeichnis

Die Unternehmensführung des Vertragspartners eines Unternehmens im Bereich kritischer Infrastrukturen soll vorsorglich – zur Meinung von Rechtsstreitigkeiten – bei Vertragsannahme und der Ausführung davon ausgehen, dass die „eingekauften“ Leistungen zur Erfüllung der KRITIS-Pflichten tauglich sind. Beide Vertragsparteien müssen sich über die einschlägigen Normen bewusst werden, z.B. auch aus DIN, ISO, DKE, ISO/IEC oder abzuleiten aus B3C.

Zu beachten ist, dass spezielle Bereiche wie der TK-Netzbetrieb Sonderregelungen unterliegen. Dazu ist auf die IT-Sicherheitskataloge der Bundesnetzagentur hinzuweisen:
Sicherheitskataloge BNA

Dazu zählt z.B. der IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz. In dessen Rahmen fällt die Vorgabe, dass der Anlagenbetreiber die Konformität seines Informationssicherheits-Managementsystem (ISMS) mit den Anforderungen dieses IT-Sicherheitskatalogs durch ein Zertifikat einer akkreditierten Zertifizierungsstelle nachweisen muss. Im Zitat:

Dementsprechend haben Betreiber von Energieanlagen, die durch die BSI- Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, ein ISMS zu implementieren, das den Anforderungen der DIN EN ISO/IEC 27001 in der jeweils geltenden Fassung genügt.
Zum Standard: Abstract in EN

Name	Domain	Purpose	Expiry	Type
wpl_user_preference	finklaw.de	Cookie acceptance (Annahme-Einstellungen bezüglich der Cookies)	1 year	HTTP
wpl_viewed	finklaw.de	Cookie-Zustimmung dargestellt (ja/nein)	1 year	HTTP
wp-postpass	finklaw.de	Mandantenbereich: Zum Login und folgender Bereitstellung der Inhalts-Sichtbarkeit notwendiger Cookie	10 days	HTTP
wordpress_test_cookie	finklaw.de	WordPress setzt ihn wenn zur Login-Seite navigiert wird und prüft so, ob Ihr Web Browser eigestellt ist, Cookies zu akzeptieren.	0 days	HTTP

Name	Domain	Purpose	Expiry	Type
wp-settings-1	finklaw.de	Browser (Browsereinstellung bei erfolgten WordPress-Logins - die Zahl am Ende erlaubt verschiedene Nutzerprofile zu erkennen)	25 days	HTTP
wp-settings-time-1	finklaw.de	Time (Zeiteinstellung bei erfolgten WordPress-Logins - die Zahl am Ende erlaubt verschiedene Nutzerprofile zu erkennen)	25 days	HTTP

Diese Webpräsenz der Rechtsanwaltskanzlei und Gütestelle Fink verwendet Cookies.