Zertifizierungspflicht kritischer Komponenten von Betreibern öffentlicher Telekommunikationsnetze erst frühestens zum 1. Januar 2026.

Out-Law News | 29 Jul 2022 | 3:41 pm | Lesedauer: 2 Min.

Mit der TKG-Novelle Ende 2021 wurde die Zertifizierung von sog. kritischen Komponenten durch Betreiber öffentlicher Telekommunikationsnetze verpflichtend. Eine Allgemeinverfügung der Bundesnetzagentur regelt nun, dass erst zum 1. Januar 2026 die Zertifizierung verpflichtend ist.

Kritische Komponenten sind gem. § 2 Abs. 13 BSIG IT-Produkte, die in kritischen Infrastrukturen eingesetzt werden, bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können.

Nach § 165 Abs. 4 TKG dürfen kritische Komponenten im Sinne des § 2 Abs. 13 BSI-Gesetz nur dann verwendet werden, wenn sie von einer anerkannten Prüfstelle geprüft und von einer anerkannten Zertifizierungsstelle zertifiziert worden sind. Weitere Details werden im TKG nicht geregelt. Gemäß § 167 Abs. 1 TKG legen die Bundesnetzagentur (BNetzA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) die weiteren Einzelheiten im Einvernehmen fest. Diese Kompetenz hat die BNetzA in Form des sog. Katalogs der Sicherheitsanforderungen ausgeübt, welchen sie gemeinsam mit dem BSI und dem Bundesbeauftragten für Datenschutz und Informationsfreiheit festgelegt hat. Darin wurden erstmals Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotenzial eingestuft. An sie richtet der Katalog in Anlage 2 besondere Sicherheitsanforderungen. Der Netzbetreiber muss die dort genannten Anforderungen an den Betrieb kritischer Komponenten erfüllen und in einem Sicherheitskonzept die von ihm dafür ergriffenen technischen und organisatorischen Schutzmaßnahmen darstellen. Anhang 2 des Katalogs sieht zusätzliche Sicherheitsanforderungen für Netze und Dienste mit erhöhter Kritikalität vor. Komponenten zur Realisierung kritischer Funktionen dürfen danach nur eingesetzt werden, wenn diese von einer anerkannten Prüfstelle zertifiziert wurden. Der Katalog verweist hierbei auf die Zertifizierung durch das BSI, welches die Anforderungen an das konkrete Zertifizierungsverfahren definiert.

Zur Konkretisierung der möglichen Zertifizierungsverfahren hat das BSI Anfang Juni 2022 die technische Richtlinie TR-03163 „Sicherheit in Telekommunikationsinfrastrukturen“ erlassen. Darin spezifiziert das BSI drei Möglichkeiten, kritische Komponenten je nach Einsatzort und Kritikalität zertifizieren zu lassen. Für die Zertifizierung der kritischen Komponenten werden sog. anforderungsbasierte Zertifizierungen genutzt. Entsprechende Anforderungsdokumente sollen festlegen, welche komponentenspezifische Sicherheitsanforderungen ein Produkt erfüllen muss, um zertifiziert zu werden. Diese Anforderungsdokumente werden derzeit noch vom BSI erstellt und sind dementsprechend noch nicht verfügbar. Daraus folgt, dass eine Zertifizierung von kritischen Komponenten aktuell noch nicht möglich ist, was allerdings keinesfalls heißt, dass Netzbetreiber keine Pflichten treffen: In der Allgemeinverfügung zur Festlegung von Umsetzungsfristen für den Einsatz von kritischen Komponenten durch die BNetzA heißt es, dass sofern eine Zertifizierung zum Zeitpunkt des erstmaligen Einsatzes einer kritischen Komponente nicht möglich ist, Netzbetreiber und Diensteanbieter „geeignete und angemessene technische Vorkehrungen und sonstige Maßnahmen zur Gefahrenabwehr beim Einsatz von kritischen Komponenten“ treffen müssen. Was genau mit „geeigneten und angemessenen technischen Vorkehrungen“ gemeint ist, regelt die Allgemeinverfügung hingegen nicht, sodass ein großer Interpretationsspielraum bleibt.

Darüber hinaus hat die BNetzA in der Allgemeinverfügung Übergangsregelungen für den verpflichtenden Beginn der Zertifizierung getroffen. Sobald die Anforderungsdokumente für die Zertifizierung der jeweiligen kritischen Komponenten veröffentlicht sind, läuft eine Übergangsfrist bis zum Ende des 24. Monats ab Veröffentlichung des Anforderungsdokumentes für das jeweilige Zertifizierungsschema. Ab diesem Zeitpunkt müssen neu eingesetzte Komponenten zertifiziert werden, frühestens jedoch ab dem 1. Januar 2026. Erhält eine Komponente keine Zertifizierung oder verliert diese, muss sie bis 2025 ausgetauscht werden. Sollten vergleichbare Produkte von mindestens zwei unterschiedlichen Herstellern am Markt verfügbar und bereits zertifiziert sein, muss die Zertifizierung der verbauten Komponente auch schon früher erfolgen.

Bestandskomponenten, also solche kritischen Komponenten, die bereits vorher in einem Telekommunikationsnetz eingebaut und genutzt wurden, sind hiervon grundsätzlich ausgenommen: § 165 Abs. 4 TKG legt fest, dass nur kritische Komponenten vor ihrer erstmaligen Nutzung, also dem sog. Ersteinsatz, überprüft und zertifiziert werden müssen. Auch die Allgemeinverfügung der BNetzA legt insoweit fest, dass „bereits im Einsatz befindliche Bestandskomponenten nicht nachträglich zertifiziert werden müssen“.
Das BSI hat allerdings darauf hingewiesen, dass die Rechtslage nicht so eindeutig ist, wie es der Wortlaut zunächst vermuten lassen könnte: Auch bereits eingesetzte Komponenten können unter bestimmten Voraussetzungen zertifizierungspflichtig werden. Dies kann beispielsweise nach einer umfassenden Aktualisierung (Update) der Komponente der Fall sein. Wenn ein umfassendes Update der entsprechenden Komponente durchgeführt wird, ist es möglich, dass sie im Anschluss nicht mehr als Bestandskomponente gewertet werden kann, sondern als neue Komponente anzusehen ist und demnach zertifizierungspflichtig wird.

Hierzu wird das BSI jedoch voraussichtlich im Rahmen der noch zu veröffentlichenden Anforderungsdokumente weitere Informationen herausgeben, sodass sich Betreiber darauf einstellen und entsprechende Vorkehrungen treffen können.