Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

(vom 17. Juli 2015)

 

Am 17. Juli 2015 wurde die Änderung des BSI-Gesetzes (14. August 2009) beschlossen.

 

In dieser Änderung werden die von diesem Gesetz betroffenen kritischen Infrastrukturen wie folgt bestimmt (§ 2 Abs. 10):

"Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

 

1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und

2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden."

 

Betreiber der soeben genannten kritischen Infrastrukturen sind dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Die Erfüllung dieser Anweisungen haben die Betreiber alle zwei Jahre dem Bundesamt nachzuweisen. Dies kann durch Sicherheitsaudits, Prüfungen und Zertifzierungen erfolgen. Dabei müssen dem Bundesamt auch die dabei aufgedeckten Sicherheitsmängel berichtet werden. Das Bundesamt kann dann gegebenenfalls die Übermittlung der gesamten Audit- und Prüfungs- oder Zertifizierungsergebnisse sowie die Beseitigung der Sicherheitsmängel verlangen. Zur Meldung von Störungen an das Bundesamt haben die Betreiber kritischer Infrastrukturen eine Kontaktstelle zu nennen, über die sie jederzeit erreichbar sind.

 

Wer die im Gesetz genannten Verpflichtungen nicht oder nicht ordnungsgemäß erfüllt, muss mit einer Geldbuße rechnen.

Vor allem bei den Telekommunikationsdiensten ist die Bundesnetzagentur zudem dazu berechtigt, gegebenenfalls die Öffentlichkeit über die Sicherheitsverletzungen zu informieren oder den Dienstanbieter dazu aufzufordern.

 

Eine Rechtsverordnung legt fest, wer die Betreiber kritischer Infrastrukturen aus den Bereichen Wasser, Informationstechnik und Telekommunikation, Ernährung und Energie sind, die unter die Regelungen des IT-Sicherheitsgesetzes fallen. Die finale Fassung wurde am 03.05.2016 beschlossen. Der zweite Teil der KRITIS-Verordnung mit den Sektoren Finanzen, Transport und Verkehr sowie Gesundheit wird bis Anfang 2017 erwartet. Gemäß § 8a Absatz 1 des BSI-Gesetzes sind die betroffenen Betreiber dazu verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung die angemessenen organisatorischen und technischen Vorkehrungen umgesetzt zu haben. Welche diese sind, wird in branchenspezifischen Standards festgelegt, die einer Genehmigung durch das Bundesamt für Sicherheit in der Informationstechnik bedürfen. Bereits sechs Monate nach Verkündung der Rechtsverordnung muss dem Bundesamt eine Kontaktstelle des Betreibers vorliegen (§ 8b Absatz 3 BSI-Gesetz). 

 

 

Die Loomans & Matz AG ist Ihr Experte für Neuerungen im Bereich des IT-Sicherheitsgesetzes. Wir beraten Sie gerne bei der ordnungsgemäßen Umsetzung der gesetzlichen Anforderungen. Bei Bedarf unterstützen wir Sie zusätzlich bei der Durchführung notwendiger Sicherheitsaudits, Prüfungen und Zertifzierungen.

Durch unsere Beratung werden Geldbußen und wirtschaftliche Schäden Ihres Betriebes vermieden und das Vertrauen der Kunden in Sie gestärkt.