BSI nicht zuständig?

0
435
Die Berliner Verkehrsbetriebe (BVG) bauen auf einen branchenspezifischen IT-Sicherheitsstandard. Formell erfüllen Sie aber nicht die Vorgaben des BSI-Gesetzes. (Foto: pascalkoenig, www.pixabay.com)

Die Berliner Verkehrsbetriebe (BVG) betrachten sich nicht als nachweispflichtig gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Nach Ansicht des Verkehrsunternehmens fehlt dem Bundesgesetzgeber die Regelungskompetenz im Bereich des ÖPNV.

Medien hatten zuvor berichtet, die BVG betrachte sich nicht als KRITIS-Betreiber, weil sie den in der BSI-KRITIS-Verordnung dafür festgelegten Schwellenwert von jährlich 125 Millionen Fahrgästen nicht erreiche – im Widerspruch zu statistischen Kennzahlen des Verbands Deutscher Verkehrsunternehmen (VDV) und eigenen Marketing-Botschaften, in denen von mehr als einer Milliarde Fahrgästen die Rede ist.

Abweichend von dieser Darstellung heißt es seitens der BVG gegenüber dem Behörden Spiegel, das Unternehmen habe nie behauptet, kein KRITIS-Betreiber zu sein. Im Rechtsstreit ginge es vielmehr darum, ob dem BSI gegenüber überhaupt eine Berichtspflicht bestehe. Die BVG verneint das. Begründung: Für den Öffentlichen Personennahverkehr fehle dem Bundesgesetzgeber die erforderliche Gesetzgebungskompetenz. Seit Oktober 2020 ist zur Klärung dieser Rechtsfrage eine Klage vor dem Kölner Verwaltungsgericht anhängig.

IT-Sicherheit auch ohne Pflicht?

Weiter heißt es, die BVG wolle die strengen Anforderungen an die KRITIS-IT auch unabhängig von einer gesetzlichen Pflicht einhalten. Das Unternehmen betreibe IT-Sicherheit auf hohem Niveau und habe seit Jahren den BSI-IT-Grundschutz zum Maßstab erklärt. 2019 habe eine umfangreiche Evaluierung der gemeldeten technischen Anlagen nach dem branchenspezifischen Sicherheitsstandard gemäß der Vorgaben 4400/400 des Verbands Deutscher Verkehrsunternehmen (VDV) stattgefunden. Die Prüfungen sollen alle zwei Jahre wiederholt werden. Damit entpreche das Sicherheitsniveau bereits den Anforderungen des BSI-Gesetzes.

Das Problem: Die formellen Pflichten sind damit nicht erfüllt. Zwar können KRITIS-Betreiber Nachweise auf Grundlage branchenspezifischer Sicherheitsstandards erbringen, der Standard des VDV ist aber vom BSI bislang nicht als solcher anerkannt. Für eine erneute Prüfung der technischen Anlagen habe das BSI nach Angaben der BVG im Herbst 2019 eine Frist von wenigen Wochen festgelegt und ein Zwangsgeld bei Zuwiderhandlung angedroht. Die Androhung habe das BSI nach dem Widerspruch des Unternehmens aufgehoben. Die Behörde selbst will aufgrund des laufenden Verfahrens keine Angabe zu diesen Vorgängen machen.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here