Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

Am 25. Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft getreten. Zweck dieses Gesetzes soll die

• signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland und der
• Schutz kritischer Infrastrukturen, welche gerade für das Funktionieren des Gemeinwesens zentral sind, sein.

Das Gesetz regelt unter anderem die Einhaltung von Mindestanforderungen an die IT-Sicherheit für Betreiber sogenannter "kritischer Infrastrukturen" (im Folgenden auch kurz: KRITIS). Darüber hinaus müssen Einrichtungen und Unternehmen, die unter dieses Gesetz fallen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig IT-Sicherheitsvorfälle melden. Bei Nichteinhaltung der Pflichten aus dem IT-Sicherheitsgesetz drohen entsprechende Bußgelder.

Die Frage nach der Einstufung als Betreiber einer KRITIS im Sinne des IT-Sicherheitsgesetzes lässt sich zum jetzigen Zeitpunkt allerdings noch nicht abschließend beantworten. Nach Artikel 1 des IT-Sicherheitsgesetzes gehören grundsätzlich die Bereiche Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen zu den kritischen Infrastrukturen. Eine nähere Bestimmung, welche Einrichtung konkret als KRITIS einzustufen ist, bleibt jedoch einer Rechtsverordnung vorbehalten.

Der Gesetzesbegründung zufolge wird allerdings von insgesamt nicht mehr als 2.000 Betreibern kritischer Infrastrukturen – in allen sieben oben genannten Sektoren – ausgegangen.

Mit Einführung des Gesetzes werden Betreiber kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen innerhalb ihres IT-Systems zum Schutz vor maßgeblichen Funktionsstörungen zu implementieren. Nach Inkrafttreten der o.g. Rechtverordnung bleiben hierfür zwei Jahre Zeit. Anschließend müssen die Betreiber einer KRITIS mindestens alle zwei Jahre nachweisen, dass sie die Mindestanforderungen an die IT-Sicherheit erfüllen.

Auch wenn die entsprechende Rechtsverordnung zur Benennung der KRITIS noch auf sich warten lässt, sollten sich dennoch insbesondere größere Einrichtungen des Gesundheitssektors wie Krankenhäuser schon jetzt näher mit den neuen Anforderungen an die IT-Sicherheit auseinandersetzen.

Wir werden Sie an dieser Stelle künftig über weitere Entwicklungen auf dem Laufenden halten.

Weitere Informationen zum IT-Sicherheitsgesetz finden Sie auch auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) unter www.bsi.bund.de.