Bundesamt für Sicherheit in der Informationstechnik

Neuregelungen für Betreiber Kritischer Infrastrukturen

Angesichts der essentiellen Bedeutung Kritischer Infrastrukturen für das Gemeinwohl kommt dem Staat und den KRITIS-Betreibern in einer dynamischen Gefährdungslage eine besondere Verantwortung zu, die Anlagen vor Ausfällen und Beeinträchtigungen zu schützen. Der aktuelle Bericht des BSI zur Lage der IT-Sicherheit in Deutschland zeigt, dass die IT-Systeme aufgrund einer weiterhin hohen Anzahl von Schwachstellen und Verwundbarkeiten einem hohen Gefährdungspotential ausgesetzt sind. Sowohl die Zahl an schwerwiegenden Sicherheitslücken als auch die Anzahl der zielgerichteten Angriffe auf Behörden und Unternehmen nehmen stetig zu.

Durch Abhängigkeiten zwischen einzelnen KRITIS-Sektoren oder -Branchen wird das Risiko von Ausfällen und damit auch die Folgen für Staat und Gesellschaft noch verstärkt. Ausfälle in einem Sektor können zu Ausfällen in anderen Sektoren führen und auf diese Weise einen Dominoeffekt auslösen. So können beispielsweise Verfügbarkeiten von Transport-, Lager- oder Umschlagskapazitäten sich auf Logistikketten und somit auf die Verfügbarkeit von Waren oder Zulieferteilen in Handel und Industrie auswirken.

Erweitertes Aufgabenspektrum

Das Aufgabenspektrum des BSI wird durch das neue Gesetz erweitert. So wird das BSI in Fragen der IT-Sicherheit zum zentralen Ansprechpartner für KRITIS-Unternehmen.
Die Betreiber müssen

  • IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ einsetzen und erhalten (§ 8a Absatz 1 BSIG),
  • dem BSI erhebliche IT-Störungen melden (§ 8b Absatz 4 BSIG).

Das BSI wertet die gemeldeten Informationen aus und erstellt daraus kontinuierlich ein Lagebild, das auch anderen KRITIS-Betreibern sowie den zuständigen Behörden zur Verfügung gestellt wird. Die Betreiber erhalten somit Informationen und Know-how zurück und können von der Auswertung der Meldungen aller Betreiber sowie vieler anderer Quellen durch das BSI profitieren.

Wer ist betroffen?

Welche Unternehmen zu den Betreibern Kritischer Infrastrukturen im Sinne des Gesetzes gehören, wird durch eine Rechtsverordnung (siehe Bin ich betroffen?) spezifiziert. Damit Betreiber Kritischer Infrastrukturen die Informationen des BSI erhalten können, ist eine Registrierung beim BSI erforderlich (siehe Kontaktstelle benennen).

Neuregelungen

Mit dem IT-Sicherheitsgesetz werden für KRITIS-Betreiber im Wesentlichen fünf Neuerungen eingeführt. Auf welche Betreiber welche Neuerungen wann und wie zutreffen, kann der folgenden Tabelle entnommen werden:

Tabelle mit Neuerungen für KRITIS-Betreiber Neuerungen für KRITIS-Betreiber Übersicht zu den Neuregelungen für KRITIS-Betreiber Quelle: Bundesamt für Sicherheit in der Informationstechnik