Das Kabinett hat heute die Erste Verordnung zur Änderung der BSI-Kritisverordnung beschlossen. Die Änderungsverordnung enthält in Umsetzung von § 10 Abs. 1 Satz 1 BSIG Festlegungen zur Bestimmung Kritischer Infrastrukturen für die noch ausstehenden, in § 2 Abs. 10 Nr. 1 BSIG genannten Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr und erforderliche Ergänzungen und Klarstellungen zu den bereits getroffenen Festlegungen zur Bestimmung Kritischer Infrastrukturen für die Sektoren Energie, Wasser, Ernährung und IKT. Die Verordnung bedarf nicht der Zustimmung des Bundesrates.
Die Regelungen für die Sektoren „Energie“, „Informationstechnik und Telekommunikation“, „Wasser“ und „Ernährung“ sind bereits seit dem 03.05.2016 in Kraft.
Dr. Thomas de Maizière: „Nach dieser Änderung ist es Betreibern aus allen sieben Sektoren möglich zu prüfen, ob sie Kritische Infrastrukturen nach dem IT-Sicherheitsgesetzes betreiben.“
Die von der Verordnung betroffenen Betreiber sind mit Inkrafttreten verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.
Hintergrund
Am 25.07.2015 ist das IT-Sicherheitsgesetz als Artikelgesetz in Kraft getreten. Als Kernbestandteil sehen die neu eingefügten §§ 8a, 8b BSIG vor, dass informationstechnische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen abzusichern sind und dass erhebliche IT-Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind.
Ass. iur. Klaus Kohnen
