Bundesamt für Sicherheit in der Informationstechnik

Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Für wen gilt das Gesetz?

Das IT-Sicherheitsgesetz hat mehrere Adressaten:

  • Für Betreiber von Webangeboten wie zum Beispiel Online-Shops gelten mit Inkrafttreten ab sofort erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme.
  • Telekommunikationsunternehmen sind ab sofort verpflichtet, ihre Kunden zu warnen, wenn sie bemerken, dass der Anschluss des Kunden - etwa als Teil eines Botnetzes - für IT-Angriffe missbraucht wird. Gleichzeitig sollen die Provider ihre Kunden auf mögliche Wege zur Beseitigung der Störung hinweisen.
  • Mit Inkrafttreten des IT-Sicherheitsgesetzes werden die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Untersuchung der Sicherheit von IT-Produkten sowie die Kompetenzen des BSI im Bereich der IT-Sicherheit der Bundesverwaltung erweitert.
  • Betreiber Kritischer Infrastrukturen werden verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezialregelungen bestehen – diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen. Darüber hinaus müssen die Betreiber dem BSI erhebliche IT-Sicherheitsvorfälle melden. Die aus diesen Meldungen, aber auch aus diversen weiteren Informationen, gewonnenen Erkenntnisse stellt das BSI allen KRITIS-Betreibern zur Verfügung, damit diese ihre IT angemessen schützen können. Die Meldepflicht von erheblichen IT-Sicherheitsvorfällen betrifft die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, sowie die in der seit Mai 2016 gültigen ersten KRITIS-Verordnung festgelegten KRITIS-Betreiber der Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser. Eine Meldepflicht erheblicher IT-Sicherheitsvorfälle für KRITIS-Betreiber der Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit besteht seit Inkrafttreten der ersten Änderungsverordnung der BSI-Kritisverordnung am 30. Juni 2017.

Welche Betreiber Kritischer Infrastrukturen unterliegen ab sofort den Regelungen des IT-Sicherheitsgesetzes?

  • Seit Inkrafttreten des Gesetzes gelten die neuen Pflichten zur Meldung erheblicher IT-Sicherheitsvorfälle für die Betreiber von Kernkraftwerken und für Telekommunikationsunternehmen. Für Letztere besteht bereits eine Meldepflicht gegenüber der Bundesnetzagentur, die mit dem IT-Sicherheitsgesetz nun erweitert wurde. Das BSI hat die notwendigen Maßnahmen zur Umsetzung der Meldepflicht von Betreibern von Kernkraftwerken bereits getroffen und die Betreiber informiert, sodass eine vertrauliche Kommunikation zwischen BSI und den Betroffenen möglich ist.
  • Für Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation sowie Ernährung und Wasser gilt die Meldepflicht seit dem Inkrafttreten der KRITIS-Verordnung am 3. Mai 2016. Diese Rechtsverordnung konkretisiert das Gesetz und legt fest, welche Unternehmen im Sinne des Gesetzes zu den Kritischen Infrastrukturen zählen.
  • Die Regelungen für die Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit wurden mit der ersten Änderungsverordnung der BSI-Kritisverordnung getroffen, welche am 30. Juni 2017 in Kraft getreten ist.

Müssen IT-Sicherheitsstandards jetzt sofort erfüllt werden? Droht unmittelbar ein Bußgeld, wenn sie nicht sofort erfüllt werden?

Die Pflicht zur Einhaltung von IT-Sicherheitsstandards (Stand der Technik), zu denen Betreiber Kritischer Infrastrukturen mit dem IT-Sicherheitsgesetz verpflichtet werden, besteht erst zwei Jahre nach Inkrafttreten der Verordnung, aus der der Kreis der konkret Betroffenen ermittelt werden kann.

Konsequenterweise drohen auch erst dann Bußgelder, wenn der Pflicht nicht nachgekommen wird.

Wer ist Betreiber einer Kritischen Infrastruktur?

Wer Betreiber einer Kritischen Infrastruktur im Sinne des IT-Sicherheitsgesetzes ist, ist seit der Verabschiedung der Rechtsverordnung für die Sektoren Energie, Informationstechnik und Telekommunikation sowie Ernährung und Wasser sowie der ersten Änderungsverordnung für die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr feststellbar. Die Rechtsverordnungen enthalten messbare und nachvollziehbare Kriterien, anhand derer Betreiber prüfen können, ob sie unter den Regelungsbereich fallen. So wird der Versorgungsgrad anhand von Schwellenwerten für jede Anlagenkategorie im jeweiligen Sektor, bspw. Energie, bestimmt. Der Regelschwellenwert beträgt  500 000 versorgte Personen.

Der Gesetzesbegründung zufolge ist von insgesamt nicht mehr als 2.000 Betreibern Kritischer Infrastrukturen in den regulierten sieben Sektoren auszugehen.

Weitere Hilfestellungen zur BSI-KritisV finden Sie in den FAQ zur BSI-KritisV.

Wann wird die Rechtsverordnung verabschiedet?

Am 3. Mai 2016 ist der erste Teil der Rechtsverordnung in Kraft getreten. Er umfasst die vier der sieben mit dem Gesetz adressierten Sektoren (Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation) und legt fest, welche Unternehmen unter das IT-Sicherheitsgesetz fallen.

Am 30. Juni 2017 ist die Änderungsverordnung mit den übrigen Sektoren (Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen) in Kraft getreten.

Weitere Hilfestellungen zur BSI-KritisV finden Sie in der FAQ zur BSI-Kritisverordnung.

Wer war am Verfahren der Identifizierung beteiligt?

Das Verfahren folgt dem kooperativen Ansatz des IT-Sicherheitsgesetzes. Die Fachexpertise der einzelnen Branchen wurde in die Erarbeitung aktiv einbezogen. Erster Ansprechpartner war hierbei der UP KRITIS, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. Für die strukturelle Aufarbeitung wurden für jeden Sektor sog. "Kernteams" gebildet. Diese setzten sich aus Vertretern des Bundesministeriums des Innern sowie des Bundesamtes für Sicherheit in der Informationstechnik, des Bundesamtes für Bevölkerungsschutz- und Katastrophenhilfe sowie der jeweils zuständigen Bundesressorts und der Leiter der sog. Branchenarbeitskreise des UP KRITIS zusammen.

Was muss ich als Webseiten-Betreiber nun beachten?

Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.

Das BSI stellt oftmals fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.

Was bedeutet "Stand der Technik"?

"Stand der Technik" ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen Jahren bewährt, in Gesetzen auf den "Stand der Technik" abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Was zu einem bestimmten Zeitpunkt „Stand der Technik“ ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards und Normen von beispielsweise DIN, ISO, DKE oder ISO/IEC oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den "Stand der Technik" allgemeingültig und abschließend zu beschreiben.

Gilt die neue Absicherungspflicht auch für Webseiten von Privatpersonen oder Vereinen?

Das Gesetz verpflichtet nur die Anbieter gewerblicher Telemediendienste. Nicht-kommerzielle Webseiten von Privatpersonen oder Vereinen werden daher nicht von der neuen Absicherungspflicht erfasst. Zu beachten ist jedoch, dass ein gewerbliches Angebot von Telemediendiensten auch bei Privatpersonen und Vereinen angenommen wird, wenn mit der Webseite dauerhaft Einnahmen generiert werden sollen. Dafür genügt es bereits, wenn auf der Webseite bezahlte Werbung platziert wird, beispielsweise in Form von Bannern.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK