Wichtiger Meilenstein zur Umsetzung des IT-Sicherheitsgesetzes

Durch die genannte Verordnung werden die Betreiber von Kritischen Infrastrukturen in die Lage versetzt, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen.

Die Bundesregierung hat heute der vom Bundesminister des Innern vorgelegten Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen zugestimmt. Damit kann diese Verordnung noch im Juni 2017 in Kraft treten.

Mit der Änderungsverordnung werden das IT-Sicherheitsgesetz abschließend umgesetzt und die Kriterien für die Sektoren „Finanz- und Versicherungswesen“, „Gesundheit“ und „Transport und Verkehr“ bestimmt. Die Regelungen für die Sektoren „Energie“, „Informationstechnik und Telekommunikation“, „Wasser“ und „Ernährung“ sind bereits seit dem 3. Mai 2016 in Kraft.

Mit dem vorliegenden Änderungsverordnung wird die Vorgabe des § 10 Abs. 1 Satz 1 BSI-Gesetz nunmehr abschließend umgesetzt, indem

• Festlegungen zur Bestimmung Kritischer Infrastrukturen für die noch ausstehenden, in § 2 Abs. 10 Nr. 1 BSI-Gesetz genannten Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr erstmals getroffen und
• erforderliche Ergänzungen und Klarstellungen zu den bereits getroffenen Festlegungen zur Bestimmung Kritischer Infrastrukturen für die Sektoren Energie, Wasser, Ernährung und IKT vorgenommen werden.

Dr. Thomas de Maizière betonte: „Nach dieser Änderung ist es Betreibern aus allen sieben Sektoren möglich zu prüfen, ob sie Kritische Infrastrukturen nach dem IT-Sicherheitsgesetzes betreiben.“ Die Aufarbeitung der einzelnen Sektoren sei nicht immer leicht gewesen. „Dennoch ist es uns gelungen, eine für alle Seiten gute Lösung zu finden. Um die Lebensadern unserer vernetzten Gesellschaft in der heutigen Zeit effektiver zu schützen, müssen Wirtschaft und Staat eng zusammenarbeiten. Gemeinsam mit der Wirtschaft werde ich gezielt und nachhaltig unsere Resilienz im Cyberraum verbessern. Dass wir hier noch Aufgaben vor uns haben, haben die Cyberangriffe durch die Ransom-Ware WannaCry vor wenigen Wochen recht eindrucksvoll belegt“, so der Bundesinnenminister.

Die von der Verordnung betroffenen Betreiber sind mit Inkrafttreten verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.