Bundesamt für Sicherheit in der Informationstechnik

Das IT-Sicherheitsgesetz

Mit dem seit Juli 2015 gültigen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) leistet die Bundesregierung einen Beitrag dazu, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS) - wie etwa Strom- und Wasserversorgung, Finanzen oder Ernährung - hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland. Die Verfügbarkeit und Sicherheit der IT-Systeme spielt somit, speziell im Bereich der Kritischen Infrastrukturen, eine wichtige und zentrale Rolle.

Ziel des IT-Sicherheitsgesetzes ist aber auch die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung, sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet. Neben o. g. Akteuren gelten einzelne Regelungen des IT-Sicherheitsgesetzes daher auch für Betreiber von kommerziellen Webangeboten, die höhere Anforderungen an ihre IT-Systeme erfüllen müssen. Auch Telekommunikationsunternehmen sind künftig stärker gefordert. Sie werden verpflichtet, ihre Kunden zu warnen, wenn sie einen Missbrauch eines Kundenanschlusses feststellen. Zusätzlich sollen sie Betroffenen wenn möglich Lösungsmöglichkeiten aufzeigen. Die zuständige Aufsichtsbehörde ist in diesen Fällen die Bundesnetzagentur. Um diese Ziele zu erreichen, wurden u. a. die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgeweitet.

Am 3. Mai 2016 ist der erste Teil der BSI-Kritisverordnung (§10 BSI-Gesetz) zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten. Betroffene Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung können hier eine Kontaktstelle gemäß §8b BSI-Gesetz benennen.

Die Bundesregierung hat am 31.05.2017 der vom Bundesminister des Innern vorgelegten Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen, welche die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr beinhaltet, zugestimmt. Damit kann die Verordnung noch im Juni 2017 in Kraft treten. Den Referentenentwurf der ersten Verordnung zur Änderung der BSI-Kritisverordnung finden Sie hier.

Antworten zu den wichtigsten Fragen finden Sie in unseren FAQ auf den weiterführenden Seiten sowie in den Informationsbroschüren des BSI:

Broschüre "IT-Sicherheitsgesetz" (PDF, 1MB, Datei ist barrierefrei⁄barrierearm)

Schutz Kritischer Infrastrukturen: durch IT-Sicherheitsgesetz und UP KRITIS (PDF, 2MB, Datei ist nicht barrierefrei)