Navigation und Service

Strategien / Rechtsgrundlagen

Das am 12. Juni 2015 vom Bundestag verabschiedete IT-Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten. Die aktuelle Fassung finden Sie auf den Seiten des Bundesanzeigers.

Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig ein Mindestsicherheitsniveau an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) ist am 3. Mai 2016 in Kraft getreten. Der erste Teil der Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) regelt, welche Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung unter das IT-Sicherheitsgesetz fallen. Der zweite Teil der KRITIS-Verordnung mit den Sektoren Finanzen, Transport und Verkehr sowie Gesundheit wird im Frühjahr 2017 erwartet.

Den gesamten Gesetzestext findet man im Bundesgesetzblatt Teil I Nr. 20 vom 2. Mai 2016 auf den Seiten des Bundesanzeigers. Weiterführende Informationen zum Thema BSI-KritisV finden Sie beim Bundesministerium des Innern und auf den Seiten des BSI. Die vollständige BSI-Kritisverodnung finden Sie weiter unten unter "Weiterführende Informationen".

Mit dem IT-Sicherheitsgesetz werden für KRITIS-Betreiber im Wesentlichen fünf Neuerungen eingeführt. Auf welche Betreiber welche Neuerungen wann und wie zutreffen, kann der Tabelle entnommen werden.

Tabelle mit Neuerungen für KRITIS-Betreiber Tabelle mit Neuerungen für KRITIS-Betreiber, Neuerungen für KRITIS-Betreiber (Vergrößerung öffnet sich im neuen Fenster)Über­sicht zu den Neu­re­ge­lun­gen für KRI­TIS-Be­trei­ber Quelle: Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik

Ausführliche Informationen zu Themen, wie

  • Für wen gilt das Gesetz?
  • Welche Betreiber Kritischer Infrastrukturen unterliegen ab sofort den Regelungen des IT-Sicherheitsgesetzes?
  • Müssen IT-Sicherheitsstandards jetzt sofort erfüllt werden? Droht unmittelbar ein Bußgeld, wenn sie nicht sofort erfüllt werden?
  • Wer ist Betreiber einer Kritischen Infrastruktur?
  • Was muss ich als Webseiten-Betreiber nun beachten?
  • Was bedeutet "Stand der Technik"?
  • Gilt die neue Absicherungspflicht auch für Webseiten von Privatpersonen oder Vereinen?

finden Sie in den folgenden FAQs und auf den ausführlichen Seiten des BSI zum IT-Sicherheitsgesetz.

Eignungsfeststellung branchenspezifischer Sicherheitsstandards

Das IT-Sicherheitsgesetz sieht auch vor, dass zur Festlegung des „Stand der Technik“ von den Branchen und ihren Fachverbänden branchenspezifische Sicherheitsstandards B3S erarbeitet werden können, die bei Eignung vom BSI anerkannt werden. Eine gesetzliche Pflicht zur Erarbeitung eines solchen B3S besteht nicht. Die Erstellung eines B3S ist für die Branchen jedoch eine Chance, ausgehend von der eigenen Expertise selber Vorgaben zum „Stand der Technik“ zu formulieren. Darüber hinaus gibt er den Betreibern, die sich nach einem solchen anerkannten B3S prüfen lassen, Rechtssicherheit bzgl. des „Stands der Technik“, der bei einem Audit verlangt und überprüft wird. Detaillierte Informationen zum „Stand der Technik“ und zu branchenspezifischen Sicherheitsstandards, sowie die entsprechenden Formulare, finden Sie auf separaten Seiten des BSI.

Nachweise gemäß § 8a (3) BSIG

Wurde ein B3S vom BSI offiziell anerkannt, können Betreiber der jeweiligen Branche sich nach diesem B3S auditieren lassen und so gegenüber dem BSI den Nachweis erbringen, dass sie den Anforderungen des § 8a BSI-Gesetz genügen. Genauere Informationen finden Sie auf den Seiten des BSI: Nachweise gemäß § 8a (3) BSIG.

Diese Seite:

© 2011 - 2017 Bundesamt für Sicherheit in der Informationstechnik, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe