Die Betreiber von sog. Kritischen Infrastrukturen müssen besondere Anforderungen an die Sicherheit ihrer IT-Systeme erfüllen. Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetzes) regelt besondere Pflichten, wie zum Beispiel die Absicherung informationstechnischer Systeme durch die jeweiligen Betreiber, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind sowie die Meldepflicht bei erheblichen IT-Vorfällen. Spiegelbildlich dazu sieht das BSI-Gesetz für Betreiber Kritischer Infrastrukturen besondere Rechte, insbesondere die privilegierte Beratung und Information durch das BSI, vor. Unter anderem ist zu bestimmen, welche Anlagen in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen als Kritische Infrastrukturen gelten. Mit der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz - BSI-Kritisverordnung (BSI-KritisV) wurden bereits die Festlegungen zur Bestimmung Kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation (IKT) getroffen. Die noch ausstehenden Festlegungen für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr wurden nunmehr mit der Ersten Verordnung zur Änderung der BSI-Kritisverordnung nachgeholt.

Sektor Gesundheit

Eine wesentliche Änderung ist die Einführung des Sektors Gesundheit. Aufgrund ihrer Bedeutung zur Versorgung der Allgemeinheit sind kritische Dienstleistungen wie die stationäre medizinische Versorgung, die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind, die Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten zur Anwendung in und am menschlichen Körper sowie Laboratoriumsdiagnostik umfasst. Unter der stationären medizinischen Versorgung wird typischerweise die Prävention, Erkennung und Behandlung von Krankheiten bzw. Verletzungen verstanden. Sie umfasst die Aufnahme, Diagnose, Therapie, Unterbringung/Pflege wie auch die Entlassung von Patienten. Die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten schließt die Herstellung und die Abgabe selbiger mit ein. Ebenso umfasst die Versorgung mit verschreibungspflichtigen Arzneimitteln sowie Blutkonserven die Bereiche der Herstellung, des Vertriebs und der Abgabe. Die Laboratoriumsdiagnostik, die der Untersuchung von menschlichen Proben verschiedenster Art dient, wird in den Bereichen Transport und Analytik erbracht. Eine kritische Infrastrukture stellt zum Beispiel ein Krankenhaus, das dem Bereich der stationären medizinischen Versorgung zuzuordnen ist, mit einer Fallzahl von 30.000 vollstationären Patienten im Jahr, dar. Für eine Apotheke gilt dies ab einer Zahl von 4.650.000 abgegebenen Packungen im Jahr, für ein Labor ab einer Anzahl von 1.500.000 Aufträgen pro Jahr.

Sektor Finanz- und Versicherungswesen

Neu hinzugekommen ist auch der Sektor Finanz- und Versicherungswesen. Als kritische Dienstleistungen im Sinne des BSIG fällt zum Beispiel die Bargeldversorgung, da das Bezahlen mit Bargeld einen hohen Anteil, insbesondere bei dem Kauf täglich benötigter Versorgungsgüter, einnimmt.  Im Einzelnen sind zum Beispiel die Autorisierung einer Abhebung, oder das Einbringen in den Zahlungsverkehr umfasst. Eine andere kritische Dienstleistung stellt der kartengestützte Zahlungsverkehr dar, worunter beispielsweise die Bereiche Autorisierung sowie Belastung des Kundenkontos fallen. Ein Ausfall dieses Zahlungsverkehrs hätte für alle Wirtschaftszweige erhebliche Auswirkungen, bei denen Kartenzahlungen einen deutlichen Anteil an den Umsätzen ausmachen. Ebenfalls als kritisch einzuordnen ist der konventionelle Zahlungsverkehr, also Überweisungen und Lastschriften, der sektorspezifisch und sektorübergreifend auch für die Erbringung anderer kritischer Dienstleitungen von erheblicher Bedeutung ist. Ferner fallen unter den Begriff der kritischen Dienstleistungen auch die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften, die insbesondere die Verbuchung von Wertpapieren sowie von entsprechenden Geldern umfassen. Kommt es zu einer Beeinträchtigung in diesem Bereich, könnte zeitweise keine zentrale Gegenpartei zur Verfügung stehen. Eine Weiterverarbeitung von im Handel erzielten Vertragsabschlüssen wäre dann nicht möglich. Schließlich sind auch die Versicherungsdienstleistungen, konkret die Erstversicherungen, als kritische Dienstleistungen anzusehen. Dies resultiert aus den drohenden Gefährdungen für Rechtsgüter wie zum Beispiel das Eigentum oder Leben, wenn beispielsweise wegen der Übernahme von hohen Schadenssummen für erhebliche Teile der Allgemeinheit die Bedarfsdeckung mit lebensnotwendigen Gütern nicht mehr gewährleistet wäre.

Sektor Transport und Verkehr

Ebenfalls neu ist der Sektor Transport und Verkehr, zu dessen Kernleistungen die Mobilität von Personen und der reibungslose Transport von Gütern über nahe und weite Distanzen gehören. Die Versorgung der Allgemeinheit mit Leistungen zum Transport von Personen und Gütern (Personen- und Güterverkehr) wird hierbei als kritische Dienstleistung definiert. Erbracht wird der Personen- und Güterverkehr durch die Verkehrsträger Luftverkehr, Schienenverkehr, Binnen- und Seeschifffahrt, Straßenverkehr und verkehrsträgerübergreifend durch den ÖPNV, sowie durch die Logistik. Der Sektor umfasst daneben auch kritische Infrastrukturen, zu denen beispielsweise Passagierflugplätze ab einer Anzahl von 20.000.000 Passagieren im Jahr gehören.

Änderungen des ursprünglichen Inhalts der BSI-KritisV

Die Erste Verordnung zur Änderung der BSI-Kritisverordnung bringt aber nicht nur die Einführung der neuen Sektoren mit sich, sondern ändert zum Teil auch ursprüngliche Vorschriften ab. So sind detaillierte Definitionen der einzelnen Anlagenkategorien angegeben, um eine bessere Zuordnung zu ermöglichen. In Bezug auf den Sektor Ernährung sind für die im Anhang genannten Anlagenkategorien grundsätzlich die Begriffsbestimmungen des Lebensmittel-, Bedarfsgegenstände- und Futtermittelgesetzbuches in der jeweils geltenden Fassung anzuwenden.

BGBl. I Nr. 40/2017, S. 1903