Public Security News

Das Magazin für Innere und Äußere Sicherheit, Bevölkerungsschutz, Katastrophenhilfe und Kritische Infrastrukturen

Foto: Bundesregierung/Denzel

Berlin, 13.04.2016

Kabinett beschließt erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes

Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Betreiber kriti-scher Anlagen aus den Bereichen Energie, Informationstechnik und Telekom-munikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bun-desamt für Sicherheit in der Informationstechnik (BSI) melden. Die beim BSI eingehenden Meldungen werden bewertet und dann schnellstmöglich allen Be-treibern mit einer entsprechenden Aufbereitung zur Verfügung gestellt.

Die Bundesregierung hat heute dem Erlass der von Bundesinnenminister Dr. Thomas de Maizière vorgelegten Ministerverordnung zur Bestimmung Kriti-scher Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) zugestimmt: „Mit der Verordnung wird ein wichtiger Meilenstein zur Umsetzung des IT-Sicherheitsgesetzes erreicht. Sie ist ein Ergebnis des mit dem IT-Sicherheitsgesetz etablierten kooperativen Ansatzes zur Erhöhung der Cyber-Sicherheit in Deutschland. Die Fachexpertise sowie die konstruktive und enga-gierte Arbeit des UP Kritis möchte ich in diesem Zusammenhang besonders hervorheben. Den kooperativen Ansatz des IT-Sicherheitsgesetzes werden wir jetzt weiter ausbauen.“

Die Durch die Verordnung werden die Betreiber von Kritischen Infrastrukturen in die Lage versetzt, anhand messbarer und nachvollziehbarer Kriterien zu prü-fen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen.

Die von der Verordnung betroffenen Betreiber sind mit Inkrafttreten ver-pflichtet, dem BSI innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Min-deststandards an IT-Sicherheit nachzuweisen.

Die Verordnung bestimmt zunächst Kritische Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Er-nährung. Bis Anfang 2017 sollen per Änderungsverordnung auch die Betreiber in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versi-cherungswesen identifizierbar werden.

Erster Ansprechpartner bei der Erarbeitung der Kriterien zur Bestimmung der Betreiber in den jeweiligen Sektoren ist der UP KRITIS, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen (www.upkritis.de).