Nach der Verkündung im Bundesgesetzblatt ist am 30. Juni 2017 die „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ in Kraft getetreten. Die Verordnung versetzt Betreiber von Kritischen Infrastrukturen in die Lage, anhand transparenter Kritierien zu prüfen, ob sie unter die Regelungen des IT-Sicherheitsgesetzes fallen.
Der erste Teil der BSI-Kritisverordnung (BSI-KritisV) trat bereits am 3. Mai 2016 in Kraft. Hier wurden die Kritierien für die Sektoren „Energie“, „Informationstechnik und Telekommunikation", „Wasser" und „Ernährung" festgelegt. Mit der Veröffentlichung des zweiten Teils gilt das IT-Sicherheitsgesetz nun auch für Betreiber Kritischer Infrastruktruren aus den Sektoren „Finanz- und Versicherungswesen“, „Gesundheit“ sowie „Transport und Verkehr“. Außerdem beinhaltet die „Änderung der BSI-Kritisverordnung“ erforderliche Ergänzungen und Klarstellungen für die im ersten Teil getroffenen Festlegungen.
Die von der Verordnung betroffenen Betreiber sind mit Inkrafttreten verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards (Stand der Technik) wie zum Beispiel ein Informationssicherheitsmanagementsystem nach ISO 27001 an IT-Sicherheit nachzuweisen.
Zum Hintergrund:
Um Defizite im Bereich der IT-Sicherheit abzubauen, wurde durch die Bundesregierung das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz IT-SiG) verabschiedet, das am 25. Juli 2015 in Kraft getreten ist. Das IT-Sicherheitsgesetz verpflichtet Betreiber Kritischer Infrastrukturen dazu, ein Mindestniveau an IT-Sicherheit einzuhalten und erhebliche Störungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Die BSI-KritisV regelt nun, wer Betreiber von Kritischen Infrastrukturen im Sinnes des Gesetzes sind. Die Betreiber aller sieben im Gesetz festgelegten Sektoren können auf Basis der Verordnung überprüfen, ob sie Kritische Infrastrukuren nach dem IT-Sicherheitsgesetz betreiben.