Zum Inhalt springen Zur Navigation springen
IT-Sicherheitsgesetz: Was sind kritische Infrastrukturen?

IT-Sicherheitsgesetz: Was sind kritische Infrastrukturen?

Im Juli vergangenen Jahres wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, besser bekannt unter dem Namen IT-Sicherheitsgesetz verabschiedet. Mit diesem Gesetz wurden den Betreibern kritischer Infrastrukturen unter anderem die Pflicht zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie die Pflicht zur Meldung von Cyberangriffen auferlegt.

Kritische Infrastrukturen in geändertem BSI-Gesetz definiert

Für wen diese Pflichten gelten sollen, ist in § 2 Nr. 10 des durch das IT-Sicherheitsgesetz geänderten BSI-Gesetzes geregelt. Danach sind kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon, die den Sektoren

  • Energie,
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr,
  • Gesundheit,
  • Wasser,
  • Ernährung
  • sowie Finanz- und Versicherungswesen angehören.

Zudem müssen sie von hoher Bedeutung für das Funktionieren des Gemeinwesens sein, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Eine Einrichtung oder Anlage muss beide Kriterien erfüllen, um als kritische Infrastruktur zu gelten.

Nähere Bestimmung in geplanter Rechtsverordnung

Auf welche Infrastrukturen dies genau zutrifft, lässt das Gesetz offen. Die nähere Bestimmung, welche Infrastrukturen als kritisch einzustufen sind, bleibt einer Rechtsverordnung vorbehalten. Diese wurde bislang noch nicht erlassen. Wer also konkret Betreiber einer kritischen Infrastruktur im Sinne des IT-Sicherheitsgesetzes ist, wird erst nach Verabschiedung der Rechtsverordnung feststellbar sein.

Einstufung nicht unwichtig

Ob es sich bei einer Einrichtung oder Anlage um eine kritische Infrastruktur im Sinne des BSI-Gesetzes handelt, ist keine unwichtige Frage. Betreiber kritischer Infrastrukturen haben eine Reihe von Pflichten, bei deren Vernachlässigung mitunter erhebliche Bußgelder drohen.

Wie sollten Unternehmen damit umgehen?

Stellt sich die Frage, wie Unternehmen mit der bis zum Erlass der Rechtsverordnung bestehenden Rechtsunsicherheit umgehen sollten. Unternehmen, die sich selbst als Betreiber einer kritischen Infrastruktur einstufen würden, sollten die gesetzlich geforderten Maßnahmen bereits jetzt umzusetzen beginnen. Den Erlass der klärenden Rechtsverordnung abzuwarten, kann Zeit kosten, die am Ende bei der aufwendigen Umsetzung der geforderten Maßnahmen fehlt.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.