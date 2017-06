(Bild: Heise)

Mit der Veröffentlichung der "Änderung der BSI-Kritisverordnung" gllt das IT-Sicherheitsgesetz jetzt auch für die Finanz-, Gesundheits- und Logistik-Branchen.

Das IT-Sicherheitsgesetz und die BSI-Kritisverordnung (BSI-KritisV) verpflichten die Betreiber sogenannter "Kritischer Infrastrukturen" zur Umsetzung von Sicherheitsmaßnahmen nach dem Stand der Technik und zur Meldung von Sicherheitsvorfällen. Bislang betraf dies die Sektoren Energie, Wasser, Ernährung und ITK. Der Ende Mai 2017 verabschiedete Korb II weitet den Geltungsbereich auf die Sektoren Finanzen und Versicherungen, Gesundheit sowie Transport und Verkehr aus. Mit der jetzt erfolgten Veröffentlichung im Bundesgesetzblatt wird diese Ausweitung rechtskräftig.

Die BSI-KritisV regelt, welche Branchen unter die Vorschriften des IT-Sicherheitsgesetzes fallen. Es geht dabei um "Einrichtungen und Anlagen, die für die Erbringung einer kritischen Dienstleistung (kDL) notwendig sind, welche wiederum als von hoher Bedeutung für das Funktionieren des Gemeinwesens definiert ist." Eine hohe Bedeutung ergibt sich wiederum daraus, "dass ein Ausfall oder eine Beeinträchtigung der Dienstleistung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit zur Folge haben kann."

Zu den Vorschriften des Gesetzes gehören neben der Meldepflicht von Sicherheitsvorfällen in der Regel auch die Einführung entsprechender Audits und zugehöriger technischer Systeme. Die Betreiber der neuen Sektoren müssen sich bis Dezember 2017 unter Nennung einer Kontaktstelle beim BSI registrieren. Prüfer müssen sie so beauftragen, dass sie die Nachweise spätestens im Juni 2019 zur Hand haben. Welche Konsequenzen sich weiterhin aus der Ausweitung des Geltungsbereichs des IT-Sicherheitsgesetzes ergeben, hat iX in Ausgabe 7/2017 ausführlich dargelegt. (js)