IT-Sicherheitsgesetz
Bundesregierung definiert weitere kritische Infrastrukturen
Die Bundesregierung hat einer vom Bundesinnenminister vorgelegten Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen zugestimmt. Damit müssen mehr Unternehmen als bisher schwere Sicherheitsvorfälle melden.
Im seit knapp zwei Jahren gültigen IT-Sicherheitsgesetz ist festgelegt, dass Betreiber von Infrastrukturen, die wichtig für das öffentliche Leben sind und deren Störung weitreichende Folgen haben würde, bestimmte Mindeststandards bei der IT-Sicherheit erfüllen und schwere Sicherheitsvorfälle melden müssen. Bislang war aber nur in Teilen definiert, welche Infrastrukturen als »kritische Infrastrukturen«, kurz KRITIS, anzusehen sind, nämlich solche aus den Bereichen Energie, IT und Telekommunikation, Wasser sowie Ernährung. Nun hat die Bundesregierung jedoch einer Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen (PDF) zugestimmt, in der die Kriterien für die Branchen Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr festgelegt werden. Diese soll noch im Juni in Kraft treten.
»Es ist gut, dass wir nun den nächsten Schritt zur Umsetzung des IT-Sicherheitsgesetzes machen können«, sagte BSI-Präsident Arne Schönbohm. »Nicht erst der weltweite Cyber-Angriff mit der Schadsoftware Wannacry hat gezeigt, dass Meldepflichten und die Einhaltung eines Mindestsicherheitsniveaus einen wichtigen Beitrag zur IT-Sicherheit in kritischen Infrastrukturen leisten können. Er hat zudem auch deutlich gemacht, dass entsprechende Regelungen benötigt werden.«
Damit müssen nun weitere Unternehmen prüfen, ob sie kritische Infrastrukturen nach dem IT-Sicherheitsgesetz betreiben. Ist dies der Fall, sind sie verpflichtet, dem BSI binnen sechs Monaten eine zentrale Kontaktstelle zu benennen und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.
Lesen Sie mehr zum Thema
