12.04.2017: Finanz- und Versicherungsunternehmen fallen in Zukunft unter die BSI-Meldepflicht.

Sicherungsschloss um Tastatur

Aufgrund seiner besonderen Bedeutung für ein funktionsfähiges Gemeinwesen soll zukünftig auch der Sektor des Finanz- und Versicherungswesens unter die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) fallen. Diese Verordnung ermöglicht es Unternehmen zu ermitteln, ob sie Betreiber kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes sind und somit unter seine Regelungen fallen. Bisher waren Finanz- und Versicherungswesen nicht Bestandteil der gegenwärtigen Verordnung. Diesem Umstand wurde durch den am 23.02.2017 durch das Bundesministerium des Inneren veröffentlichte Referentenentwurf zur Ersten Verordnung zur Änderung der BSI-KritisV Rechnung getragen. Der neu eingefügte § 7 enthält nunmehr die Vorgaben zur Bestimmung der kritischen Infrastrukturen im Sinne des § 10 Absatz 1 Satz 1 des BSI-Gesetzes (BSIG), welche zukünftig für das Finanz- und Versicherungswesen gelten. Gemäß § 7 Absatz 7 sind Anlagen oder Teile davon als kritische Infrastrukturen zu werten, wenn sie zum einen den unter den Absätzen 2 bis 6 aufgeführten Kategorien kritischer Dienstleistungen zuzuordnen bzw. für die Erbringung dieser Dienstleistungen erforderlich sind. Zu diesen Kategorien gehören:

  • Bargeldversorgung
  • kartengestützter Zahlungsverkehr
  • konventioneller Zahlungsverkehr
  • Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften und
  • Versicherungsdienstleistungen

Zum anderen gelten Anlagen oder Teile davon als kritische Infrastruktur, wenn sie die im Anhang 6 aufgeführten Schwellenwerte zu den zuvor genannten Kategorien überschreiten.

Wurden Anlagen von Kreditinstituten und Versicherungsunternehmen als kritische Infrastruktur nach den Kriterien der BSI-KritisV eingestuft, müssen die Betreiber dieser Anlagen:

  • Maßnahmen zur Absicherung ergreifen, die dem „Stand der Technik“ entsprechen (§ 8a Absatz 1 BSIG), und deren Wirksamkeit alle zwei Jahre nachweisen (§ 8a Absatz 3 BSIG),
  • dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche IT-Störungen über eine zuvor benannte Kontaktstelle melden (§ 8b Absätze 3 und 4 BSIG).

Diese Vorgaben, so einfach sie im ersten Moment erscheinen, gehen einher mit einem erheblichen Mehraufwand, der die betroffenen Unternehmen in den kommenden Jahren beschäftigen wird. Einerseits bedeutet dies für Kreditinstitute und Versicherungsunternehmen, ihre IT-Sicherheitsmaßnahmen zu überprüfen und angemessene Vorkehrungen zu treffen, um ihre kritischen IT-Systeme, -Komponenten und -Prozesse gegen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit abzusichern. Andererseits führt es zu einem administrativen Mehraufwand bei der Übermittlung von Meldungen, wenn Kreditinstitute und Versicherungsunternehmen mehrere kritische Infrastrukturen betreiben.

In ihrer offiziellen Stellungnahme weist die Deutsche Kreditwirtschaft auf 5 Missstände im derzeitigen Referentenentwurf zur Änderungsverordnung hin und liefert gleichzeitig konkrete Vorschläge, wie dieser ihrer Ansicht nach anzupassen wäre:

Die abweichende Definition des Betreiberbegriffs im Finanz- und Versicherungswesen führt zu Abgrenzungsproblemen bei der Bestimmung der Sachherrschaft. Versorgungsdienstleistungen, die laut der Änderungsverordnung als kritisch eingestuft werden, können in der Praxis von verschiedenen Dienstleistern in unterschiedlichen Auslagerungskonstellationen betrieben werden. Diese Betreiber müssen nicht selbst dem Finanz- und Versicherungswesen angehören. Laut der Deutschen Kreditwirtschaft kann ein Betreiber nur eine Aussage zu der kritischen Infrastruktur treffen, die er selbst bereitstellt. Er sei nicht in der Lage, über die Auswirkungen der kritischen Versorgungsdienstleitung insgesamt zu urteilen. Daher befürwortet die Deutsche Kreditwirtschaft die Entscheidung, zentrale Dienstleister der Verbünde der Sparkassen und Genossenschaftsbanken als Betreiber der kritischen Infrastrukturen zu verpflichten, die stellvertretend die Pflichten für die einzelnen Kreditinstitute wahrnehmen und sie somit entlastet.

Anrechnung von Schwellenwerten bei Anlagen derselben Art: Der Begriff „gemeinsame Anlage“ führt zu Abgrenzungsproblemen und sollte durch die Formulierung „nicht sicherheitstechnisch getrennt sind“ ersetzt werden.

Bargeldlogistik gehört laut der Deutschen Kreditwirtschaft nicht zum Finanz- und Versicherungswesen, sondern wird dem Sektor Logistik zugeordnet. Dies sollte an entsprechenden Stellen in der Verordnung gekennzeichnet sein.

Außerdem sollte deutlicher aus der Verordnung hervorgehen, dass im Zusammenhang mit Wertpapier- und Derivategeschäften explizit die Infrastruktur von Börsen und Zentralverwahrern gemeint ist, denen diese Dienstleistung auch zuzuordnen ist.

Schließlich kritisiert die Deutsche Kreditwirtschaft, dass die BSI-KritisV nicht klar formuliert, dass sie sich ausschließlich auf Geschäftsprozesse bezieht, die Privatkunden direkt betreffen. Banken, die sich ausschließlich auf Geschäftskunden spezialisiert haben, würde es helfen, wenn in der BSI-KritisV dargelegt wird, dass B2B-Geschäftsvorfälle für die BSI-KritisV nicht relevant sind.

Impavidi unterstützt Sie beim Assessment Ihrer IT-Sicherheitsvorkehrungen und begleitet den Prozess bis hin zur Optimierung Ihres Meldewesens gegenüber dem BSI.


 

Zurück