Zum Inhalt springen Zur Navigation springen
IT-Sicherheitsgesetz – Neue KRITIS-Unternehmen, alte Pflichten

IT-Sicherheitsgesetz – Neue KRITIS-Unternehmen, alte Pflichten

Am 25. Juli 2015 hatte der Deutsche Bundestag das IT-Sicherheitsgesetz verabschiedet. Ziel des Gesetzes ist es, Mindeststandards im Bereich der IT-Sicherheit für Unternehmen aus sensiblen Bereichen zu schaffen. Somit sollen diese sich besser vor Cyberangriffen schützen können. Nun hat die Bundesregierung eine Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen (Änderung der BSI-Kritisverordnung) auf den Weg gebracht. Dadurch ergibt sich unter anderem eine erweiterte Meldepflicht für einige Unternehmen.

Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr

Die 76 Seiten starke Verordnung trifft nun Festlegungen für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Betroffen seien 918 „kritische Infrastrukturen“, heißt es in der Verordnung, die noch in diesem Monat in Kraft treten soll. Die Regelungen für Unternehmen aus den Bereichen Energie, IT, Telekommunikation, Wasser und Ernährung – laut Regierung 730 Anlagen – sind bereits seit Mai 2016 in durch die Kritisverordnung (BSI-KritisV) in Kraft.

Konkret fallen nun folgende Einrichtungen unter das IT-Sicherheitsgesetz:

  • 110 Krankenhäuser
  • 151 Einrichtungen zur Medikamentenversorgung
  • 176 Anlagen für die Bargeldversorgung
  • 113 für Versicherungsdienste
  • 56 IT-Anlagen im Schienen- und 79 im Straßenverkehr

Anstatt der ursprünglich erwarteten 2.000 betroffenen Einrichtungen sind es nun insgesamt 1.648. Was genau kritische Infrastrukturen sind, kann hier nachgelesen werden.

Meldepflicht für KRITIS-Unternehmen

Die von der Verordnung betroffenen KRTIS-Unternehmen sind mit Inkrafttreten gem. § 8b Absatz 3 BSIG verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen.

Die Relevanz dieses Themas stelle auch Bundesinnenminister Thomas de Maizière heraus, indem er betonte:

„Nach dieser Änderung ist es Betreibern aus allen sieben Sektoren möglich zu prüfen, ob sie Kritische Infrastrukturen nach dem IT-Sicherheitsgesetzes betreiben […]. Um die Lebensadern unserer vernetzten Gesellschaft in der heutigen Zeit effektiver zu schützen, müssen Wirtschaft und Staat eng zusammenarbeiten. […] Dass wir hier noch Aufgaben vor uns haben, haben die Cyberangriffe durch die Ransom-Ware WannaCry vor wenigen Wochen recht eindrucksvoll belegt.“

Mindeststandard an IT-Sicherheit

Zudem haben jetzt auch die betroffenen Unternehmen in diesem Bereich die Pflicht dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Es besteht also Handlungsbedarf. Was die Behörde unter einem geeigneten Nachweis gem. § 8a BSIG versteht, lässt sich deren Orientierungshilfe entnehmen. Dabei werden unter Punkt 5. „Durchführung der Prüfung“ Kriterien beschrieben, die als Grundlage für einen geeigneten Nachweis dienen können.

  • Die Umsetzung branchenspezifischer Sicherheitsstandards (B3S).
  • Einschlägige Standards (z.B. Zertifizierungsschemata für ISO 27001 (Nativ oder auf Basis von IT-Grundschutz), ISO/IEC 17021-1, ISO/IEC27006).
  • Eigene Kriterien, die an die Überlegungen in der Orientierungshilfe zu branchenspezifischen Sicherheitsstandards angelehnt sind.
  • Bereits vorhandene Prüfungen, wenn sie nicht älter als ein Jahr sind.

Die bisherigen Anforderungen lassen sich im Grunde stark eindampfen. Die Einführung angemessener Vorkehrungen zur Vermeidung von Störungen unter Berücksichtigung des Stands der Technik, ähnelt der Einführung eines Informationssicherheitsmanagementsystem (ISMS). Im ersten Schritt müssen KRITIS-Unternehmen einen geeigneten Scope festlegen, die zugrundeliegenden Prozesse feststellen und entsprechende Sicherheitsmaßnahmen planen, umsetzen und dokumentieren.

Im zweiten Schritt muss die Umsetzung der Maßnahmen durch eine geeignete prüfende Stelle zertifiziert werden. Deren Prüfbericht wird zu guter Letzt mit Angaben zur geprüften Kritischen Infrastruktur und zum Ansprechpartner alle zwei Jahren beim BSI eingereicht.
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.