Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Betreiber kritischer Anlagen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die beim BSI eingehenden Meldungen werden bewertet und dann schnellstmöglich allen Betreibern mit einer entsprechenden Aufbereitung zur Verfügung gestellt.
Die Bundesregierung hat heute dem Erlass der von Bundesinnenminister Dr. Thomas de Maizière vorgelegten Ministerverordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) zugestimmt:
Mit der Verordnung wird ein wichtiger Meilenstein zur Umsetzung des IT-Sicherheitsgesetzes erreicht. Sie ist ein Ergebnis des mit dem IT-Sicherheitsgesetz etablierten kooperativen Ansatzes zur Erhöhung der Cyber-Sicherheit in Deutschland. Die Fachexpertise sowie die konstruktive und engagierte Arbeit des UP Kritis möchte ich in diesem Zusammenhang besonders hervorheben. Den kooperativen Ansatz des IT-Sicherheitsgesetzes werden wir jetzt weiter ausbauen.“
Durch die Verordnung werden die Betreiber von Kritischen Infrastrukturen in die Lage versetzt, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen.
Die von der Verordnung betroffenen Betreiber sind mit Inkrafttreten verpflichtet, dem BSI innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.
Die Verordnung bestimmt zunächst Kritische Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung. Bis Anfang 2017 sollen per Änderungsverordnung auch die Betreiber in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen identifizierbar werden.
Erster Ansprechpartner bei der Erarbeitung der Kriterien zur Bestimmung der Betreiber in den jeweiligen Sektoren ist der UP KRITIS, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen (www.upkritis.de).
BMI, Pressemitteilung v. 13.04.2016
