IT-Sicherheitsgesetz Bundesinnenministerium legt Verordnungsentwurf zur Bestimmung Kritischer Infrastrukturen vor Das Bundesinnenministerium („BMI“) hat diese Woche den Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen („BSI-KritisV-E“) zur Stellungnahme an die Bundesländer und Branchenverbände übermittelt. Hintergrund: IT-Sicherheitsgesetz Die BSI-KritisV-E konkretisiert das IT-Sicherheitsgesetz, das am 25. Juli 2015 in Kraft getreten ist. Das IT-Sicherheitsgesetz und die BSI-KritisV-E sollen zentrale, für Wirtschaft und Gemeinwesen bedeutsame IT-Infrastrukturen in Deutschland gegen Cyberangriffe wappnen. Dafür legt das IT-Sicherheitsgesetz Betreibern von sog. Kritischen Infrastrukturen zwei zentrale Pflichten auf: Sie sind verpflichtet, Mindestsicherheitsstandards für ihre Informationstechnik und systeme umzusetzen und einzuhalten sowie IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik („BSI“) zu melden. Unter Kritischen Infrastrukturen sind insbesondere Anlagen zu verstehen, die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind, z.B. im Energie-, Informationstechnik- und Telekommunikationssektor. Konkretisierung der Adressaten des IT-Sicherheitsgesetzes: BSI-KritisV-E Nicht im IT-Sicherheitsgesetz geregelt ist, welche Anlagen konkret zu den Kritischen Infrastrukturen zählen und wer Betreiber ist und damit die Pflichten des IT-Sicherheitsgesetzes einhalten muss. Dies soll nun die BSI-KritisV-E festlegen. Die BSI-KritisV-E bestimmt für sieben Sektoren - Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung -, welche Dienstleistungen (z.B. Stromversorgung) wegen ihrer Bedeutung, der Anlagenkategorie (z.B. Stromerzeugungsanlage) und ihres Schwellenwerts (Überschreitung von 450 MW pro Jahr/500.00 versorgte Personen) als 1 Kritische Infrastruktur einzustufen sind. Das BMI schätzt die Anzahl der als Kritische Infrastruktur zu qualifizierenden Anlagen für alle sieben Sektoren auf insgesamt etwa 650. Ausblick Betreiber Kritischer Anlagen müssen nach dem Inkrafttreten der BSI-KritisV-E innerhalb von sechs Monaten eine Kontaktstelle für die Meldepflicht von IT-Sicherheitsvorfällen einrichten und dem BSI mitteilen. Innerhalb von zwei Jahren nach Inkrafttreten der BSI-KritisV-E müssen Kritische Anlagen die Mindestsicherheitsstandards implementiert haben. Große Unternehmen der relevanten Sektoren werden bereits jetzt überprüfen müssen, ob sie Kritische Anlagen betreiben und ggf. ihre IT-Sicherheitsmaßnahmen auf die neuen Pflichten aus dem ITSicherheitsgesetz einzustellen haben. Wir werden über den weiteren Verlauf auf dem Laufenden berichten. Bei Fragen stehen wir Ihnen gern jederzeit zur Verfügung. Dr. Lars Lensdorf Dr. Moritz Hüsch, LL.M. Tel: +49 (69) 768063-30 Mobile: +49 (160) 90704902 E-Mail: [email protected] Tel: +49 (69) 768063-453 Mobile: +49 (151) 12577724 E-Mail: [email protected] 2