18Aug2016

Das IT-Sicherheitsgesetz und seine aktuellen Änderungen (Teil 1)

Im ersten Teil widmen wir uns den wesentlichen Zielen und Merkmalen des IT-Sicherheitsgesetzes sowie den beiden Änderungen im BSI-Gesetz der §§2 und 8a:

Der Bundestag hat am Freitag, den 12. Juni 2015, das von der Bundesregierung vorgelegte IT-Sicherheitsgesetz (18/4096) in der durch Anträge von Unions- und SPD-Fraktion geänderten Fassung (18/5121) beschlossen. 

Wesentliche Ziele und Merkmale des IT-Sicherheitsgesetzes

  • Das Gesetz gilt für zentrale Infrastrukturen, die für das Funktionieren des Gemeinwesens zentral sind = kritische Infrastruktur
  • 2.000 kritische Infrastrukturen mit durchschnittlich 7 Meldevorfällen im Jahr
    (voraussichtliche Kosten: 660,- € pro Meldung / 11 h Aufwand bei einem Stundensatz von 60,- €)
  • Einhaltung eines Mindestniveaus der IT-Sicherheit
  • Meldung von IT-Sicherheitsvorfällen an das BSI

Das Gesetz ist ein Änderungsgesetz zu bestehenden gesetzlichen Regelungen. Nachfolgend sind die wesentlichen Änderungen, die das Thema „Informationssicherheit“ berühren, beschrieben:

BSI-Gesetz (I)

§2 – Definition kritischer Infrastrukturen:

Einrichtungen, Anlagen oder Teile davon aus den Sektoren

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen

und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

BSI-Gesetz (II)

§8a – Betreiber kritischer Infrastrukturen:

  • Verpflichtung zum Treffen von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind
  • Nachweis der Erfüllung mindestens alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen
  • Übermittlung einer Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel an das Bundesamt.

Login to your Account