IT-Sicherheitsgesetz – Neue KRITIS-Unternehmen, alte Pflichten

News

Am 25. Juli 2015 hatte der Deutsche Bundestag das IT-Sicherheitsgesetz verabschiedet. Ziel des Gesetzes ist es, Mindeststandards im Bereich der IT-Sicherheit für Unternehmen aus sensiblen Bereichen zu schaffen. Somit sollen diese sich besser vor Cyberangriffen schützen können. Nun hat die Bundesregierung eine Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen (Änderung der BSI-Kritisverordnung) auf den Weg gebracht. Dadurch ergibt sich unter anderem eine erweiterte Meldepflicht für einige Unternehmen.

Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr

Die 76 Seiten starke Verordnung trifft nun Festlegungen für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Betroffen seien 918 „kritische Infrastrukturen“, heißt es in der Verordnung, die noch in diesem Monat in Kraft treten soll. Die Regelungen für Unternehmen aus den Bereichen Energie, IT, Telekommunikation, Wasser und Ernährung – laut Regierung 730 Anlagen – sind bereits seit Mai 2016 in durch die Kritisverordnung (BSI-KritisV) in Kraft.

Konkret fallen nun folgende Einrichtungen unter das IT-Sicherheitsgesetz:

  • 110 Krankenhäuser
  • 151 Einrichtungen zur Medikamentenversorgung
  • 176 Anlagen für die Bargeldversorgung
  • 113 für Versicherungsdienste
  • 56 IT-Anlagen im Schienen- und 79 im Straßenverkehr

Anstatt der ursprünglich erwarteten 2.000 betroffenen Einrichtungen sind es nun insgesamt 1.648. Was genau kritische Infrastrukturen sind, kann hier nachgelesen werden.

Meldepflicht für KRITIS-Unternehmen

Die von der Verordnung betroffenen KRTIS-Unternehmen sind mit Inkrafttreten gem. § 8b Absatz 3 BSIG verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen.

Die Relevanz dieses Themas stelle auch Bundesinnenminister Thomas de Maizière heraus, indem er betonte:

„Nach dieser Änderung ist es Betreibern aus allen sieben Sektoren möglich zu prüfen, ob sie Kritische Infrastrukturen nach dem IT-Sicherheitsgesetzes betreiben […]. Um die Lebensadern unserer vernetzten Gesellschaft in der heutigen Zeit effektiver zu schützen, müssen Wirtschaft und Staat eng zusammenarbeiten. […] Dass wir hier noch Aufgaben vor uns haben, haben die Cyberangriffe durch die Ransom-Ware WannaCry vor wenigen Wochen recht eindrucksvoll belegt.“

Mindeststandard an IT-Sicherheit

Zudem haben jetzt auch die betroffenen Unternehmen in diesem Bereich die Pflicht dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Es besteht also Handlungsbedarf. Was die Behörde unter einem geeigneten Nachweis gem. § 8a BSIG versteht, lässt sich deren Orientierungshilfe entnehmen. Dabei werden unter Punkt 5. „Durchführung der Prüfung“ Kriterien beschrieben, die als Grundlage für einen geeigneten Nachweis dienen können.

  • Die Umsetzung branchenspezifischer Sicherheitsstandards (B3S).
  • Einschlägige Standards (z.B. Zertifizierungsschemata für ISO 27001 (Nativ oder auf Basis von IT-Grundschutz), ISO/IEC 17021-1, ISO/IEC27006).
  • Eigene Kriterien, die an die Überlegungen in der Orientierungshilfe zu branchenspezifischen Sicherheitsstandards angelehnt sind.
  • Bereits vorhandene Prüfungen, wenn sie nicht älter als ein Jahr sind.

Die bisherigen Anforderungen lassen sich im Grunde stark eindampfen. Die Einführung angemessener Vorkehrungen zur Vermeidung von Störungen unter Berücksichtigung des Stands der Technik, ähnelt der Einführung eines Informationssicherheitsmanagementsystem (ISMS). Im ersten Schritt müssen KRITIS-Unternehmen einen geeigneten Scope festlegen, die zugrundeliegenden Prozesse feststellen und entsprechende Sicherheitsmaßnahmen planen, umsetzen und dokumentieren.

Im zweiten Schritt muss die Umsetzung der Maßnahmen durch eine geeignete prüfende Stelle zertifiziert werden. Deren Prüfbericht wird zu guter Letzt mit Angaben zur geprüften Kritischen Infrastruktur und zum Ansprechpartner alle zwei Jahren beim BSI eingereicht.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

2 Kommentare zu diesem Beitrag

  1. Wie kommen Sie auf 10 Krankenhäuser? In den Richtlinien stehen doch Einrichtungen, die mehr als 30.000 Stationäre Fälle haben fallen unter die kritischen Infrastruktur?
    Das sind aus meiner Sicht ein paar mehr Krankenhäuser als nur 10 Stück

    • Richtig ist, dass gemäß der Richtlinie Krankenhäuser, die mehr als 30.000 vollstationäre Fälle pro Jahr haben, als Kritischen Infrastruktur betrachtet werden. Somit fallen 110 Krankenhäuser unter das IT-Sicherheitsgesetz. Entschuldigen Sie den Tippfehler, wir haben den Artikel entsprechend korrigiert.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.