Im Juli vergangenen Jahres wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, besser bekannt unter dem Namen IT-Sicherheitsgesetz verabschiedet. Mit diesem Gesetz wurden den Betreibern kritischer Infrastrukturen unter anderem die Pflicht zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie die Pflicht zur Meldung von Cyberangriffen auferlegt.
Der Inhalt im Überblick
Kritische Infrastrukturen in geändertem BSI-Gesetz definiert
Für wen diese Pflichten gelten sollen, ist in § 2 Nr. 10 des durch das IT-Sicherheitsgesetz geänderten BSI-Gesetzes geregelt. Danach sind kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon, die den Sektoren
- Energie,
- Informationstechnik und Telekommunikation,
- Transport und Verkehr,
- Gesundheit,
- Wasser,
- Ernährung
- sowie Finanz- und Versicherungswesen angehören.
Zudem müssen sie von hoher Bedeutung für das Funktionieren des Gemeinwesens sein, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Eine Einrichtung oder Anlage muss beide Kriterien erfüllen, um als kritische Infrastruktur zu gelten.
Nähere Bestimmung in geplanter Rechtsverordnung
Auf welche Infrastrukturen dies genau zutrifft, lässt das Gesetz offen. Die nähere Bestimmung, welche Infrastrukturen als kritisch einzustufen sind, bleibt einer Rechtsverordnung vorbehalten. Diese wurde bislang noch nicht erlassen. Wer also konkret Betreiber einer kritischen Infrastruktur im Sinne des IT-Sicherheitsgesetzes ist, wird erst nach Verabschiedung der Rechtsverordnung feststellbar sein.
Einstufung nicht unwichtig
Ob es sich bei einer Einrichtung oder Anlage um eine kritische Infrastruktur im Sinne des BSI-Gesetzes handelt, ist keine unwichtige Frage. Betreiber kritischer Infrastrukturen haben eine Reihe von Pflichten, bei deren Vernachlässigung mitunter erhebliche Bußgelder drohen.
Wie sollten Unternehmen damit umgehen?
Stellt sich die Frage, wie Unternehmen mit der bis zum Erlass der Rechtsverordnung bestehenden Rechtsunsicherheit umgehen sollten. Unternehmen, die sich selbst als Betreiber einer kritischen Infrastruktur einstufen würden, sollten die gesetzlich geforderten Maßnahmen bereits jetzt umzusetzen beginnen. Den Erlass der klärenden Rechtsverordnung abzuwarten, kann Zeit kosten, die am Ende bei der aufwendigen Umsetzung der geforderten Maßnahmen fehlt.
Hier findet man den Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung–BSI-KritisV)
http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/kritis-vo.pdf?__blob=publicationFile
Vielen Dank für den Hinweis.
Toller Erlass. Es wird dazu kommen, dass keiner sich angesprochen fühlt. Gibt es dazu schon was neues?