Änderung der BSI-Kritisverordnung: Weitere Unternehmen zum Schutz ihrer IT verpflichtet

Die durch das IT-Sicherheitsgesetz eingeführten Sicherheits- und Meldepflichten gelten zukünftig auch auf den Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Am 31.05.2017 hat die Bundesregierung der vom Bundesministerium des Innern vorgelegten Ersten Verordnung zur Änderung der BSI-Kritisverordnung zugestimmt. Die Änderung tritt voraussichtlich noch im Juni 2017 in Kraft. Die BSI-Kritisverordnung legt dann erstmals auch für die Sektoren „Gesundheit“, „Finanz- und Versicherungswesen“ sowie „Transport und Verkehr“ die zur Qualifizierung als kritische Infrastruktur maßgeblichen Schwellenwerte fest.

Erfüllt ein Unternehmen die Kriterien der BSI-Kritisverordnung, muss es dem BSI binnen sechs Monaten eine Kontaktstelle benennen und zukünftig erhebliche Störungen seiner Systeme, Komponenten und Prozesse melden. Außerdem ist es als Betreiber einer kritischen Infrastruktur verpflichtet, innerhalb von zwei Jahren technische und organisatorische Maßnahmen zum angemessenen Schutz seiner Systeme zu treffen und diesen Schutz regelmäßig nachzuweisen.

Die Änderung der BSI-Kritisverordnung ist der letzte Schritt zur vollständigen Umsetzung des 2015 in Kraft getretenen IT-Sicherheitsgesetzes. Für Betreiber kritischer Infrastrukturen auf den Sektoren „Energie“, „Informationstechnik und Telekommunikation“, „Wasser“ und „Ernährung“ gelten die Melde- und Sicherheitspflichten bereits seit Mai 2016.