LANDTAG NORDRHEIN-WESTFALEN 17. Wahlperiode Drucksache 17/2455 23.04.2018 Datum des Originals: 23.04.2018/Ausgegeben: 26.04.2018 Die Veröffentlichungen des Landtags Nordrhein-Westfalen sind einzeln gegen eine Schutzgebühr beim Archiv des Landtags Nordrhein-Westfalen, 40002 Düsseldorf, Postfach 10 11 43, Telefon (0211) 884 - 2439, zu beziehen. Der kostenfreie Abruf ist auch möglich über das Internet-Angebot des Landtags Nordrhein-Westfalen unter www.landtag.nrw.de Antwort der Landesregierung auf die Kleine Anfrage 889 vom 20. März 2018 des Abgeordneten René Schneider SPD Drucksache 17/2226 Kritische Infrastruktur – verschläft die Landesregierung die IT Sicherheit? Vorbemerkung der Kleinen Anfrage IT Sicherheit und die Absicherung wichtiger Infrastruktur gegen Angriffe sind wichtige Meilensteine für Vertrauen in die zunehmende Digitalisierung in allen Bereichen. Seit 1991 ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit Sitz in Bonn zuständig für Fragen der IT Sicherheit. Grundlage für die Arbeit der Behörde ist das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG). Aus dem BSIG leitet sich die BSI-KritisV ab. Diese regelt, welche Unternehmen und Institutionen zur kritischen Infrastruktur in Deutschland gehören. Im Mai 2017 hat das Bundeskabinett mit dem zweiten Korb der BSI-KritisV eine Ausweitung der KRITIS-Regelung auf die Sektoren Finanz- und Versicherungswesen, Gesundheit und Transport/Verkehr erlassen. Ziel der Verordnung ist es, die im Gesetz geregelten Unternehmen und Institutionen mit kritischer Auswirkung auf die Gesamtinfrastruktur nach dem aktuellen Stand der IT-Technik vor möglichen Angriffen abzusichern. Bis zum 03. Mai 2018 müssen Unternehmen und Institutionen, die eine in der Verordnung geregelte Größe überschreiten, die Umsetzung nachweisen. Der Minister für Wirtschaft, Innovation, Digitalisierung und Energie hat die Kleine Anfrage 889 mit Schreiben vom 23. April 2018 namens der Landesregierung im Einvernehmen mit dem Minister der Finanzen, dem Minister des Innern, dem Minister für Arbeit, Gesundheit und Soziales sowie dem Minister für Verkehr beantwortet. LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode Drucksache 17/2455 2 Vorbemerkung der Landesregierung I. Rechtliche Grundlagen Die in der Kleinen Anfrage zitierte Kritisverordnung (KritisV) findet ihre gesetzliche Grundlage im Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT- Sicherheitsgesetz, IT-SiG). Das IT-SiG definiert die kritischen Infrastrukturen im Sinne des Gesetzes wie folgt (neuer § 10 Abs.1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz)): „Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“ Zugleich ermächtigt das BSI-Gesetz das Bundesministerium des Innern (BMI), durch Rechtsverordnung zu bestimmen, welche Einrichtungen, Anlagen oder Teile davon in den genannten Sektoren als Kritische Infrastrukturen gelten. Das BSI-Gesetz formuliert für die Betreiber Kritischer Infrastrukturen eine Reihe von Verpflichtungen. Hervorzuheben sind insbesondere: Betreiber kritischer Infrastrukturen sind verpflichtet, spätestens 2 Jahre nach Inkrafttreten der BSI-Kritisverordnung (KritisV) „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“. Betreiber kritischer Infrastrukturen haben dem BSI binnen sechs Monaten nach Inkrafttreten der KritisV eine Kontaktstelle zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Das BSI-Gesetz ist in seiner durch das IT-SiG geänderten Fassung im Juli 2015 in Kraft getreten. Das BMI hat die KritisV im April 2016 erlassen, damals wurden die kritischen Dienstleistungen in den Sektoren Energie, Wasser, Ernährung und Informationstechnik/Telekommunikation bestimmt („1. Korb“). Im Juni 2017 wurden im Rahmen einer Änderung der KritisV zusätzlich die kritischen Dienstleistungen in den Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr bestimmt („2. Korb“). Die zweijährige Umsetzungsfrist für die Betreiber Kritischer Infrastrukturen im 2. Korb endet daher im Juni 2019 und nicht im Mai 2018, wie in der Vorbemerkung des Fragestellers dargestellt. LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode Drucksache 17/2455 3 II. Aktuelle Situation Die Kleine Anfrage konzentriert sich auf die im 2. Korb der KritisV genannten Sektoren. Demgegenüber läuft die Umsetzungsfrist für die im 1. Korb genannten Sektoren bereits in 2018 ab. Die Vorgängerregierung hat in diesem Zusammenhang bei der Umsetzung des IT-SiG und der zugehörigen KritisV erkennbar einen zurückhaltend-dezentralen Ansatz verfolgt. Eine zentrale Kontaktstelle nach § 8 b Abs. 2 Nr. 4c BSIG wurde für Nordrhein-Westfalen nicht benannt. Ebenso wenig sind Maßnahmen ergriffen worden, um einen Überblick über die von der KritisV des Jahres 2016 betroffenen Unternehmen und Institutionen und deren Umsetzungsplanungen zu erhalten. Adressaten des Gesetzes sind die betroffenen Unternehmen und Institutionen unmittelbar; zudem obliegt die inhaltliche Beratungsfunktion gegenüber den betroffenen Unternehmen nach §§ 8a, 8b BSI-Gesetz dem BSI, nicht dem Land. Gleichwohl hält es die Landesregierung heute für geboten, dem Thema Cybersicherheit insgesamt und insbesondere der Cybersicherheit in den Kritischen Infrastrukturen erhöhte Aufmerksamkeit zu widmen. Die Bündelung der digitalen Themen einschließlich des Themas Cybersicherheit in einem Ressort ist hier der erste Schritt. Inhaltlich schließen die Initiativen der Landesregierung die engere Zusammenarbeit mit dem BSI ebenso ein wie die Sensibilisierung der Bevölkerung und der Wirtschaft. Im Rahmen der Digitalstrategie Nordrhein-Westfalen wird die Landesregierung hier deshalb einen deutlichen Schwerpunkt setzen. Zudem wird sich das Land an der für 2020 geplanten Länderübergreifenden Krisenmanagementübung (LÜKEX-Übung) beteiligen. Gegenstand dieser Übung wird eine Cyberattacke auf die Stromversorgung sein. 1. Wie viele Unternehmen und Institutionen unterliegen der Ausweitung (2. Korb) der KritisV in NRW? (Bitte nach Sektoren aufschlüsseln) 2. Wie viele dieser Unternehmen und Institutionen aus 1. erfüllen bereits jetzt die Anforderungen der KritisV in NRW? (Bitte ebenfalls nach Sektoren aufschlüsseln) 3. Hat die Landesregierung Kenntnis darüber ob allen Unternehmen, die bis zum 03. Mai 2018 unter die KritisV fallen, die Anforderungen der KritisV bekannt sind? Die Fragen 1 bis 3 werden zusammen beantwortet. Diese Fragen können im Rahmen der für eine Kleine Anfrage zur Verfügung stehenden Zeit nicht im Detail beantwortet werden. Aus Kontakten mit Verbänden der betroffenen Bereiche sieht die Landesregierung sich aber in der Einschätzung bestätigt, dass die Anforderungen der KritisV in den nordrhein-westfälischen Unternehmen und Institutionen bekannt sind. Die Verbände selbst haben hierzu eine aktive Informationspolitik betrieben. LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode Drucksache 17/2455 4 4. Wie unterstützt die Landesregierung die Umsetzung der KritisV beispielsweise durch Informationskampagnen, Runde Tische o.ä.? 5. Gibt es zur Thematik IT-Infrastrukturabsicherung einen regelmäßigen Austausch der Landesregierung mit dem BSI? Die Fragen 4 und 5 werden zusammen beantwortet. Die Landesregierung pflegt auf Arbeitsebene den regelmäßigen Austausch mit dem BSI und hat hier eine Intensivierung vereinbart. Bei meinem Besuch des BSI im Februar dieses Jahres habe ich hierzu mit dem Präsidenten des BSI eine Absichtserklärung unterzeichnet, die in den kommenden Wochen zu einer Verwaltungsvereinbarung ausgearbeitet wird. Zugleich ist das Land der Allianz für Cybersicherheit beigetreten. Das BSI mit seiner hervorragenden Expertise und mit Sitz in Bonn ist für die Landesregierung ein wichtiger Partner im gemeinsamen Kampf für Cybersicherheit. Die Landesregierung führt regelmäßig Informationsveranstaltungen zum Thema Cybersicherheit durch oder beteiligt sich an ihnen. Darüber hinaus beabsichtigt sie, wie oben erläutert, die Zusammenarbeit mit kompetenten Akteuren aus Wirtschaft, Wissenschaft und Verwaltung deutlich zu intensivieren und so Sensibilisierungskampagnen und Informationsangebote besser abstimmen und ausweiten zu können.