IT-Sicherheitsgesetz: Was sind kritische Infrastrukturen?

konzern 04
Fachbeitrag

Im Juli vergangenen Jahres wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, besser bekannt unter dem Namen IT-Sicherheitsgesetz verabschiedet. Mit diesem Gesetz wurden den Betreibern kritischer Infrastrukturen unter anderem die Pflicht zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie die Pflicht zur Meldung von Cyberangriffen auferlegt.

Kritische Infrastrukturen in geändertem BSI-Gesetz definiert

Für wen diese Pflichten gelten sollen, ist in § 2 Nr. 10 des durch das IT-Sicherheitsgesetz geänderten BSI-Gesetzes geregelt. Danach sind kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon, die den Sektoren

  • Energie,
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr,
  • Gesundheit,
  • Wasser,
  • Ernährung
  • sowie Finanz- und Versicherungswesen angehören.

Zudem müssen sie von hoher Bedeutung für das Funktionieren des Gemeinwesens sein, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Eine Einrichtung oder Anlage muss beide Kriterien erfüllen, um als kritische Infrastruktur zu gelten.

Nähere Bestimmung in geplanter Rechtsverordnung

Auf welche Infrastrukturen dies genau zutrifft, lässt das Gesetz offen. Die nähere Bestimmung, welche Infrastrukturen als kritisch einzustufen sind, bleibt einer Rechtsverordnung vorbehalten. Diese wurde bislang noch nicht erlassen. Wer also konkret Betreiber einer kritischen Infrastruktur im Sinne des IT-Sicherheitsgesetzes ist, wird erst nach Verabschiedung der Rechtsverordnung feststellbar sein.

Einstufung nicht unwichtig

Ob es sich bei einer Einrichtung oder Anlage um eine kritische Infrastruktur im Sinne des BSI-Gesetzes handelt, ist keine unwichtige Frage. Betreiber kritischer Infrastrukturen haben eine Reihe von Pflichten, bei deren Vernachlässigung mitunter erhebliche Bußgelder drohen.

Wie sollten Unternehmen damit umgehen?

Stellt sich die Frage, wie Unternehmen mit der bis zum Erlass der Rechtsverordnung bestehenden Rechtsunsicherheit umgehen sollten. Unternehmen, die sich selbst als Betreiber einer kritischen Infrastruktur einstufen würden, sollten die gesetzlich geforderten Maßnahmen bereits jetzt umzusetzen beginnen. Den Erlass der klärenden Rechtsverordnung abzuwarten, kann Zeit kosten, die am Ende bei der aufwendigen Umsetzung der geforderten Maßnahmen fehlt.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

3 Kommentare zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.