Am 03.05.2016 ist die von Bundesinnenminister Dr. Thomas de Maizière vorgelegte Ministerverordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) in Kraft getreten.
Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Betreiber kritischer Anlagen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen danach künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die beim BSI eingehenden Meldungen werden bewertet und dann schnellstmöglich allen Betreibern mit einer entsprechenden Aufbereitung zur Verfügung gestellt.
Wann sind Anlagen kritische Infrastrukturen?
Mit der Verordnung zur Umsetzung des IT-Sicherheitsgesetzes können Betreiber feststellen, ob die von ihnen betriebenen Anlagen kritische Infrastrukturen sind und unter das IT-Sicherheitsgesetz fallen oder nicht. Soweit sie betroffen sind, werden sie verpflichtet, dem BSI erhebliche Störungen ihrer informationstechnischen Systeme – je nach Sektor spätestens nach einer Übergangsfrist von sechs Monaten – zu melden und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.
Welche Sektoren sind betroffen?
Die Verordnung bestimmt zunächst Kritische Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung. Bis Anfang 2017 sollen per Änderungsverordnung auch die Anlagen in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen identifizierbar werden. Dies wird die dritte Komponente des Gesamtpaketes sein.
(BMI, PM vom 03.05.2016/ Viola C. Didier)
