Am 25. Juli 2015 hatte der Deutsche Bundestag das IT-Sicherheitsgesetz verabschiedet. Ziel des Gesetzes ist es, Mindeststandards im Bereich der IT-Sicherheit für Unternehmen aus sensiblen Bereichen zu schaffen. Somit sollen diese sich besser vor Cyberangriffen schützen können. Nun hat die Bundesregierung eine Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen (Änderung der BSI-Kritisverordnung) auf den Weg gebracht. Dadurch ergibt sich unter anderem eine erweiterte Meldepflicht für einige Unternehmen.
Der Inhalt im Überblick
Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr
Die 76 Seiten starke Verordnung trifft nun Festlegungen für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Betroffen seien 918 „kritische Infrastrukturen“, heißt es in der Verordnung, die noch in diesem Monat in Kraft treten soll. Die Regelungen für Unternehmen aus den Bereichen Energie, IT, Telekommunikation, Wasser und Ernährung – laut Regierung 730 Anlagen – sind bereits seit Mai 2016 in durch die Kritisverordnung (BSI-KritisV) in Kraft.
Konkret fallen nun folgende Einrichtungen unter das IT-Sicherheitsgesetz:
- 110 Krankenhäuser
- 151 Einrichtungen zur Medikamentenversorgung
- 176 Anlagen für die Bargeldversorgung
- 113 für Versicherungsdienste
- 56 IT-Anlagen im Schienen- und 79 im Straßenverkehr
Anstatt der ursprünglich erwarteten 2.000 betroffenen Einrichtungen sind es nun insgesamt 1.648. Was genau kritische Infrastrukturen sind, kann hier nachgelesen werden.
Meldepflicht für KRITIS-Unternehmen
Die von der Verordnung betroffenen KRTIS-Unternehmen sind mit Inkrafttreten gem. § 8b Absatz 3 BSIG verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen.
Die Relevanz dieses Themas stelle auch Bundesinnenminister Thomas de Maizière heraus, indem er betonte:
„Nach dieser Änderung ist es Betreibern aus allen sieben Sektoren möglich zu prüfen, ob sie Kritische Infrastrukturen nach dem IT-Sicherheitsgesetzes betreiben […]. Um die Lebensadern unserer vernetzten Gesellschaft in der heutigen Zeit effektiver zu schützen, müssen Wirtschaft und Staat eng zusammenarbeiten. […] Dass wir hier noch Aufgaben vor uns haben, haben die Cyberangriffe durch die Ransom-Ware WannaCry vor wenigen Wochen recht eindrucksvoll belegt.“
Mindeststandard an IT-Sicherheit
Zudem haben jetzt auch die betroffenen Unternehmen in diesem Bereich die Pflicht dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Es besteht also Handlungsbedarf. Was die Behörde unter einem geeigneten Nachweis gem. § 8a BSIG versteht, lässt sich deren Orientierungshilfe entnehmen. Dabei werden unter Punkt 5. „Durchführung der Prüfung“ Kriterien beschrieben, die als Grundlage für einen geeigneten Nachweis dienen können.
- Die Umsetzung branchenspezifischer Sicherheitsstandards (B3S).
- Einschlägige Standards (z.B. Zertifizierungsschemata für ISO 27001 (Nativ oder auf Basis von IT-Grundschutz), ISO/IEC 17021-1, ISO/IEC27006).
- Eigene Kriterien, die an die Überlegungen in der Orientierungshilfe zu branchenspezifischen Sicherheitsstandards angelehnt sind.
- Bereits vorhandene Prüfungen, wenn sie nicht älter als ein Jahr sind.
Die bisherigen Anforderungen lassen sich im Grunde stark eindampfen. Die Einführung angemessener Vorkehrungen zur Vermeidung von Störungen unter Berücksichtigung des Stands der Technik, ähnelt der Einführung eines Informationssicherheitsmanagementsystem (ISMS). Im ersten Schritt müssen KRITIS-Unternehmen einen geeigneten Scope festlegen, die zugrundeliegenden Prozesse feststellen und entsprechende Sicherheitsmaßnahmen planen, umsetzen und dokumentieren.
Wie kommen Sie auf 10 Krankenhäuser? In den Richtlinien stehen doch Einrichtungen, die mehr als 30.000 Stationäre Fälle haben fallen unter die kritischen Infrastruktur?
Das sind aus meiner Sicht ein paar mehr Krankenhäuser als nur 10 Stück
Richtig ist, dass gemäß der Richtlinie Krankenhäuser, die mehr als 30.000 vollstationäre Fälle pro Jahr haben, als Kritischen Infrastruktur betrachtet werden. Somit fallen 110 Krankenhäuser unter das IT-Sicherheitsgesetz. Entschuldigen Sie den Tippfehler, wir haben den Artikel entsprechend korrigiert.
Vielen Dank für den Artikel.
Gibt es eine Quelle zu den Zahlen „Konkret fallen nun folgende Einrichtungen unter das IT-Sicherheitsgesetz:“
Die Quelle ist hier: https://www.bmi.bund.de/SharedDocs/downloads/DE/gesetztestexte/gesetztesentwuerfe/referentenentwurf-zur-aenderung-kritis-vo.pdf?__blob=publicationFile&v=2 ab S. 38