Anlässlich des Inkrafttretens des „Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 06.07.2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (Umsetzungsgesetz zur NIS-Richtlinie) und der „Ersten Verordnung zur Änderung der BSI-Kritisverordnung“ (Zweite KRITIS-Verordnung) erklärte der Bundesminister des Innern, Dr. Thomas de Maizière, heute in Berlin:
„Die neuen Regelungen führen zu einem höheren Maß an IT-Sicherheit und vor dem Hintergrund einer angespannten Cyber-Bedrohungslage zu besserem Schutz. Deutschland ist damit in der Gewährleistung eines angemessenen IT- und Cybersicherheitsniveaus schon einige Schritte weiter, als die meisten anderen Staaten.“
Der Minister zeigte sich zufrieden, dass diese beiden wichtigen Rechtssetzungsvorhaben im Bereich IT- und Cybersicherheit noch vor dem Ende der Legislaturperiode ihren Abschluss gefunden haben.
De Maizière: „Es gab noch keine Legislaturperiode, in der so viel Rechtssetzung und Maßnahmen zur Verbesserung der IT- und Cybersicherheit angestoßen wurden, wie in dieser.“
Als Beispiele nannte der Minister das IT-Sicherheitsgesetz aus dem Jahr 2015, die Erste KRITIS-Verordnung 2016 und die am heutigen Tage in Kraft getretenen Regelungen. Daneben verwies er auf die neue Cyber-Sicherheitsstrategie für Deutschland 2016 und auf den stetigen Ausbau des Bundesamts für Sicherheit in der Informationstechnik (BSI), einer, wie der Minister betonte, „international anerkannten Fachbehörde“.
Trotzdem, so der Minister, werde auch in der nächsten Legislatur weitere Schritte in den Bereichen IT- und Cyber-Sicherheit nötig:
„Die Entwicklung in der Informationstechnik und der Digitalisierung ist hochdynamisch. Angreifer und Angriffsmethoden sind es auch. Wir können uns nicht erlauben stehen zu bleiben, sondern werden uns immer wieder neu darauf einstellen müssen.“
Hintergrund
Die NIS-Richtlinie sieht den EU-weiten Aufbau nationaler Kapazitäten für Cyber-Sicherheit, eine stärkere Zusammenarbeit der Mitgliedstaaten und die EU-weite Einführung von Mindestanforderungen und Meldepflichten vor. Ein Großteil der Vorgaben der NIS-Richtlinie wurde in Deutschland bereits durch das IT-Sicherheitsgesetz 2015 vorweggenommen. Bei den Verhandlungen auf Europäischer Ebene zur NIS-Richtlinie fungierten die Ansätze des IT-Sicherheitsgesetzes als Blaupause. Mit dem Umsetzungsgesetz werden jetzt zusätzlich z.B. Regelungen für den Einsatz der sog. „Mobilen Incident Response Teams“ (MIRTs) des (BSI) geschaffen. Diese Teams können Verfassungsorgane, Bundesbehörden sowie Betreiber Kritischer Infrastrukturen und vergleichbar wichtiger Einrichtungen auf Ersuchen vor Ort schnell, flexibel und adressatengerecht bei der technischen Bewältigung von Sicherheitsvorfällen unterstützen.
Mit der Zweiten KRITIS-Verordnung werden die Kritischen Infrastrukturen in den noch fehlenden Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen bestimmt. Die Regelungen für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung sind bereits seit Mai 2016 in Kraft. Die von der Verordnung betroffenen Betreiber sind mit dem jeweiligen Inkrafttreten verpflichtet, dem BSI innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.
Das Gesetz und die Verordnung wurden am 29.06.2017 im BGBl. verkündet.
BMI, Pressemitteilung v. 30.06.2017
