Strafen für KRITIS-Unternehmen – Sind Sie NOCH IMMER spät dran?

 

Wer bis dato die gesetzlichen Vorgaben im Kontext des § 8a BSIG als interessant, aber aufgrund der geringen Strafen (siehe "Strafen für KRITIS Unternehmen – Sind Sie spät dran?") und trotz Organisationsverschulden als nachrangig erachtet hat, könnte bald zum Umdenken gezwungen sein. Denn der Entwurf eines zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0), ist vor einiger Zeit in die Öffentlichkeit gelangt.

 

In diesem Entwurf ist unteranderem eine Anpassung der Bußgeldvorschriften im BSIG vorgesehen:

§ 14 – Bußgeldvorschriften

 

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […]

 

4. entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft,

 

5. entgegen § 8a Absatz 3 Satz 1 einen Nachweis nicht richtig, nicht vollständig oder nicht rechtzeitig erbringt, […]

 

(2) Verstöße gegen die Bestimmungen des Absatzes 1 Nummer 2, 6, 13 und 16 können mit Geldbußen von bis zu 20 000 000 EURO oder von bis zu 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden. Verstöße gegen die übrigen Bestimmungen des Absatzes 1 können mit Geldbußen von bis zu 10 000 000 EURO oder von bis zu 2 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden.“  Quelle

In diesem kleinen Abschnitt steckt der Faktor 200!  Zur Erinnerung an § 8a Absatz 1 Satz 1:

„Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“  Quelle

Vor diesem Hintergrund, der möglicher Weise bald eintritt, bekommt die sorgfältige, vollständige und fristgerechte Umsetzung der besagten angemessenen technischen und organisatorischen Vorkehrungen ein neues Gewicht. Aber auch die erforderlichen Nachweise gewinnen durch das höhere Bußgeld an Bedeutung und das nicht nur für die KRITIS-Unternehmen:

 

Was würde passieren, wenn der KRITIS-Betreiber ein Bußgeld zahlen muss, obwohl er der prüfenden Stelle seine Prüfgrundlage (z.B. B3S) überreicht und fristgerecht die Prüfung beauftragt hat, aber der in Bonn eingereichte Nachweis fachlich unzureichend ist? Ich bin gespannt, ob und wie die prüfenden Stellen diesen Fall rechtlich bewerten und absichern werden. Als Prüfer sollte man wie bisher größte Sorgfalt bei KRITIS-Prüfungen walten lassen, denn hier geht es nicht um ein Unternehmenszertifikat zur Kundengewinnung, sondern in letzter Instanz um Menschenleben. Aus diesem Grund sind meiner Ansicht nach die in der Prüfung von den Betreibern getätigten Aussagen bezüglich der Vorkehrungen immer auch technisch zu überprüfen, sogar an der Konsole selbst und das kann leider nicht jeder Prüfer.

 

Hinweis: Die bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen.


ISMS Auf- und Ausbau.

Durchführung von internen Audits.

Durchführung von Zertifizierungsaudits.

Durchführung von KRITIS-Prüfungen.