Reuschlaw

Wer ist vom IT-Sicherheitsgesetz betroffen?

Hin­ter­grund

Auf­grund des seit Juli 2015 gel­ten­den Geset­zes zur Erhö­hung der Sicher­heit infor­ma­ti­ons­tech­ni­scher Sys­te­me (IT-Sicherheitsgesetz) oblie­gen Betrei­bern von „kri­ti­schen Infra­struk­tu­ren“ bestimm­te Pflich­ten zur Sicher­heit ihrer Sys­te­me. Hier­zu gehört ins­be­son­de­re die Ein­hal­tung eines IT-Mindestsicherheitsniveaus. Zudem sind die Betrei­ber ver­pflich­tet, erheb­li­che IT-Sicherheitsvorfälle an das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) zu mel­den. Pro­ble­ma­tisch war bis­her, dass der Begriff der „kri­ti­schen Infra­struk­tur“ im IT-Sicherheitsgesetz nicht abschlie­ßend legal defi­niert wur­de. Dies erschwer­te die Ein­schät­zung, wer als Betrei­ber von Anla­gen unter die Bestim­mun­gen des IT-Sicherheitsgesetzes galt und die damit ein­her­ge­hen­den Pflich­ten zu erfül­len hat­te und führ­te zur Rechtsunsicherheit.

Aktu­el­le Änderung

Mit der Ver­ord­nung zur Bestim­mung kri­ti­scher Infra­struk­tu­ren nach dem BSI-Gesetz (BSI-KritisV) defi­niert der Gesetz­ge­ber nun­mehr die „kri­ti­schen Infra­struk­tu­ren“, indem er die dar­un­ter fal­len­den Anla­gen abschlie­ßend auf­lis­tet. Bereits im Mai 2016 trat der ers­te Teil der Ver­ord­nung in Kraft, mit dem gere­gelt wur­de, wel­che Anla­gen in den Sek­to­ren Ener­gie, Was­ser, Ernäh­rung und Infor­ma­ti­ons­tech­nik und Tele­kom­mu­ni­ka­ti­on als „kri­ti­sche Infra­struk­tu­ren“ gel­ten. Am 31.05.2017 wur­de mit der ers­ten Ver­ord­nung zur Ände­rung der BSI-KritisV nun auch dem zwei­ten und abschlie­ßen­den Teil der Ver­ord­nung durch die Bun­des­re­gie­rung zuge­stimmt. Auf deren Basis kann nun auch im Detail bestimmt wer­den, wel­che Anla­gen in den Sek­to­ren Gesund­heit, Finanz- und Ver­si­che­rungs­we­sen sowie Trans­port und Ver­kehr als kri­ti­sche Infra­struk­tu­ren ein­zu­stu­fen sind, so dass Unter­neh­men nun­mehr rechts­si­cher beur­tei­len kön­nen, ob sie unter die Anwend­bar­keit des IT-Sicherheitsgesetzes fal­len oder nicht. 

Prak­ti­sche Aus­wir­kun­gen: Compliance-Check nach IT-Sicherheitsgesetz!

Für in den genann­ten Bran­chen täti­ge Unter­neh­men gilt es somit zu prü­fen, ob sie in den Anwen­dungs­be­reich des IT-Sicherheitsgesetzes fal­len. Trifft das zu, müs­sen inner­halb von zwei Jah­ren nach Inkraft­tre­ten der ers­ten Ver­ord­nung zur Ände­rung der BSI-KritisV (vor­aus­sicht­lich noch im Juni 2017), inner­halb der betrof­fe­nen Unter­neh­men erhöh­te Sicher­heits­stan­dards umge­setzt wer­den. Das IT-Sicherheitsgesetz betrifft unmit­tel­bar Anla­gen­be­trei­ber. Mit­tel­bar wer­den aber auch Her­stel­ler von Anla­gen oder Anla­gen­tei­len die Aus­wir­kun­gen des Geset­zes spü­ren, da die Betrei­ber zur Kon­for­mi­tät ihrer Sicher­heits­sys­te­me die Mit­wir­kung der Her­stel­ler benö­ti­gen und die­se dazu in ihre Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me ein­bin­den müs­sen. Die Her­stel­ler haben in die­sem Rah­men die Sor­ge für die ord­nungs­ge­mä­ße Bereit­stel­lung aller – für das ent­spre­chend ver­pflich­ten­de Sicher­heits­ni­veau – not­wen­di­gen Pro­dukt­in­for­ma­tio­nen zu tragen.

Her­stel­ler soll­ten daher Struk­tu­ren imple­men­tie­ren, um sich zunächst mit ihren Kun­den in Ver­bin­dung zu set­zen und zu prü­fen, ob die­se Betrei­ber der im IT-Sicherheitsgesetz bezeich­ne­ten Anla­gen sind. Gleich­zei­tig ist zu prü­fen, ob dem Her­stel­ler eine erhöh­te Infor­ma­ti­ons­pflicht zukommt und die erfor­der­li­chen Infor­ma­tio­nen umfas­send ein­ge­holt und an die Kun­den über­mit­telt wer­den können. 

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.