Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, wurde am 24.07.2015 im Bundegesetzblatt veröffentlicht und ist somit rechtskräftig. Die Betreiber kritischer Infrastrukturen aus den Bereichen
- Energie,
- Informationstechnik und Telekommunikation,
- Transport und Verkehr,
- Gesundheit,
- Wasser,
- Ernährung sowie
- Finanz- und Versicherungswesen
sind damit verpflichtet zukünftig einen Mindeststandard an IT-Sicherheit zu etablieren bzw. aufrechtzuerhalten und weiter zu entwickeln. Gravierende IT-Sicherheitsvorfälle müssen nun verbindlich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Die zuständigen Sicherheitsbehörden (BSI, BKA, BfV) werden mit mehr Geld und Personal ausgestattet.
Dazu sollen die Branchen selbst solche Standards entwickeln, die dann vom BSI genehmigt werden. Danach sollen die Unternehmen alle 2 Jahre nachweisen, dass sie die Anforderungen noch erfüllen. Was nun aussteht ist eine begleitende Rechtsverordnung in der genauere Spezifikationen und Schwellwerte festgelegt werden sollen. Erwartet wird die Verordnung Ende 2016.
Wir werden Einzelheiten mit daraus resultierenden Konsequenzen in weiteren Beiträgen beleuchten.