Bundesamt für Sicherheit in der Informationstechnik

Bin ich betroffen?

Welche Unternehmen aus dem Bereich der Kritischen Infrastrukturen genau von den im IT-Sicherheitsgesetz beschlossenen Regelungen betroffen sind, wird durch die Bestimmung Kritischer Infrastrukturen nach der BSI-Kritisverordnung festgelegt (§ 10 BSI-Gesetz). Der erste Teil dieser Rechtsverordnungwurde vom zuständigen Bundesministerium des Innern erarbeitet und ist am 3. Mai 2016 in Kraft getreten. Er umfasste die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser und regelt, welche Unternehmen aus diesen Sektoren unter das IT-Sicherheitsgesetz fallen.

Die noch ausstehenden Festlegungen für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr wurden nunmehr mit einer Änderungsverordnung getroffen. Diese ist am 30. Juni 2017 in Kraft getreten. Hierzu findet man den entsprechenden Referentenentwurf, welcher auch in dieser Form beschlossen wurde, samt Vorblatt und Begründung auf den Seiten des BMI. Eine endgültige Fassung der Rechtsverordnung mit allen Sektoren finden Sie z. B. unter www.gesetze-im-internet.de.

Die Rechtsverordnung legt qualitative und quantitative Kriterien, wie beispielsweise die Anzahl der versorgten Personen mit einer bestimmten Dienstleistung fest. Wer diese Kriterien erfüllt, betreibt eine Kritische Infrastruktur im Sinne des Gesetzes.

Weitere Hilfestellungen zur BSI-KritisV finden Sie in der FAQ zur BSI-Kritisverordnung.

Welche Angebote gibt es für Unternehmen, die nicht von der KRITIS-Verordnung betroffen sind?

Der UP KRITIS bietet eine Möglichkeit der Zusammenarbeit mit anderen Betreibern, Verbänden und den zuständigen staatlichen Stellen. Am UP KRITIS können auch Betreiber Kritischer Infrastrukturen teilnehmen, die nicht unter die Regelungen des Gesetzes fallen.

Neben der fachlichen Zusammenarbeit besteht über den UP KRITIS auch für diese Organisationen die Möglichkeit, Warn- und Lageinformationen zu erhalten:

  • Organisationen, die sich einem SPOC (Single Point of Contact) des UP KRITIS anschließen, erhalten alle Warn- und Lageinformationen über den SPOC. Die Organisation selbst muss dafür nicht Teilnehmer des UP KRITIS werden.
  • Organisationen, die nicht an einen SPOC angeschlossen sind und mehr als 50.000 Personen direkt oder indirekt versorgen, können Warn- und Lageinformationen direkt vom BSI erhalten, sofern sie Teilnehmer im UP KRITIS sind.
  • Organisationen, die nicht an einen SPOC angeschlossen sind und weniger als 50.000 Personen direkt oder indirekt versorgen, können Warn- und Lageinformationen über das Portal der Allianz für Cyber-Sicherheit erhalten, sofern sie Teilnehmer der Allianz für Cyber-Sicherheit sind.