Nachdem im Juli 2015 ist das deutsche IT-Sicherheitsgesetz in Kraft getreten ist, wurde im Februar diesen Jahres nun ein Rechtsverordnungsentwurf veröffentlicht, der definiert, wer von dem neuen Gesetz betroffen ist. DsiN-Miglied OpenLimit hat die wichtigsten Informationen daraus zusammengestellt.
Was ist das IT-Sicherheitsgesetz?
Das IT-Sicherheitsgesetz soll die Sicherheit von Unternehmen und der Bundesverwaltung verbessern sowie die Menschen im Internet besser schützen. Die Verordnung richtet sich an Betreiber sogenannter kritischer Infrastrukturen. Das sind Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind, beispielsweise aus den Bereichen Energieversorgung, Verkehr, Gesundheitswesen sowie Banken und Versicherungen. Mit dem neuen Gesetz sind sie verpflichtet, IT-Sicherheitsvorfälle zukünftig an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Wer genau muss künftig IT-Sicherheitsvorfälle melden?
Insgesamt sind sieben Branchen und etwa 700 Anlagen in Deutschland vom IT-Sicherheitsgesetz und somit von der neuen Meldepflicht betroffen. Als Faustregel gilt die 500.000-er-Grenze: Sind mehr als 500.000 Bürger von der Versorgungsleistung eines Unternehmens aus den Bereichen Informationstechnik, Telekommunikation, Energie, Ernährung, Finanz- und Versicherungswesen abhängig, ist die Anlage meldepflichtig und muss die geforderten Mindeststandards an IT-Sicherheit einhalten.
Zur genaueren Definition wurden für die jeweiligen Sektoren Schwellenwerte festgelegt, die sich aus dem Verbrauch von 500.000 Bürgern berechnen. Diese liegen beispielsweise für Energieversorger bei einer jährlichen Stromerzeugung von mehr als 450 MW und bei Wasserwerken bei einer Bereitstellung von mindestens 21,9 Millionen m³ im Jahr.
Bis wann müssen die Auflagen umgesetzt sein?
Den Betreibern sicherheitskritischer Anlagen bleiben knapp zwei Jahre, um die Sicherheitsrichtlinien nach dem aktuellen Stand der Technik zu realisieren.
Weitere Informationen:
Die vollständige Pressemitteilung von OpenLimint finden Sie unter https://www.openlimit.com/de/ueber-openlimit/presse/news/2016/neue-rechtsverordnung-spezifiziert-it-sicherheitsgesetz.html
Den Referentenentwurf gibt es zum Download unter https://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/kritis-vo.pdf;jsessionid=907E22016CA27DCE9835366D51D7EDB9.2_cid373?__blob=publicationFile
Bild: Fotolia/ Duncan Andison