KritisV, BSIG und IT-Sicherheitsgesetz im Überblick

seperator
23539571

Deutschland ist von einem engmaschigen Netz gesellschaftswichtiger Infrastrukturen durchzogen. Die verschiedensten Produkte der IT und die vielfältigen Möglichkeiten deren Vernetzung bilden bereits heute zu einem wesentlichen Teil das Rückgrat unserer Gesellschaft und unseren wirtschaftlichen Handelns – und sichern damit die Versorgung der Bevölkerung und der Unternehmen.

Die Versorgung in Deutschland funktioniert – aber je besser etwas funktioniert, desto gravierender sind die Folgen, wenn etwas ausfällt (Verletzlichkeitsparadoxon).

Aus diesem Grund hat die deutsche Bundesregierung das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) verabschiedet, welches am 25.07.2015 in Kraft getreten ist. Mit dem Gesetz wurden die Betreiber besonders gefährdeter Infrastrukturen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und dem Finanz- und Versicherungswesen verpflichtet, ihre IT-Infrastruktur entsprechend anzupassen.

Infrastrukturen gelten dann als „kritisch“, wenn sie für das Funktionieren des Gemeinwesens von wichtiger Bedeutung sind, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden (vgl. § 2 Abs. 10 BSIG)

Ein wichtiges Kriterium ist daher die sogenannte Kritikalität: Kritikalität ist das relative Maß für die Bedeutsamkeit einer Infrastruktur in Bezug auf die Konsequenzen, die eine Störung oder ein Funktionsausfall für die Versorgung hat.

Neue Pflichten für Betreiber kritischer Infrastrukturen

Unternehmen sind daher ab sofort verpflichtet,
1. sich beim BSI zu registrieren, wenn Sie festellen, dass Sie als Betreiber von kritischer Infrastrukturen fungieren (vgl. § 8b Abs. 1 BSIG). Die Meldung erfolgt online über das Melde- und Informationsportal des BSI. (Nicht sicher, ob Sie ein Betreiber kritischer Infrastruktur sind? Kontaktieren Sie mich gerne.)
2. eine Kontaktstelle für das BSI einrichten, an welche sich das BSI wenden kann um z.B. über gegenwärtigen Gefahren zu informieren (vgl. § 8b Abs. 3 BSIG)
3. erhebliche IT-Störungen dem BSI zu melden (vgl. § 8b Abs. 4 BSIG)
4. alle zwei Jahre einen Nachweis darüber zu erbringen, dass alle IT-Systeme dem aktuellen Stand der Technik entsprechen (vgl. § 8a Abs. 3 BSIG)

Dazu haben die einzelnen Branchen die Möglichkeiten selbst sogenannte branchenspezifischen Sicherheitsstandards (kurz: B3S) zu entwickeln, welche dann vom BSI genehmigt und anerkannt werden können.

Zusätzlich haben Unternehmen oder Unternehmensgruppen die Möglichkeit eine sogenannte gemeinsame übergeordnete Ansprechstelle (GÜAS) zu gründen. Dies ist quasi eine gemeinsame Kontaktstelle mehrerer Unternehmen, mit dem Vorteil der
– Wahrung der Anonymität, falls erwünscht (Die GÜAS meldet beim BSI lediglich das eine Störung vorliegt, die Nennung des Betreibers muss aber nur erfolgen, wenn die Störung auch tatsächlich zu einem Ausfall der kritischen Infrastruktur geführt hat.
– der besseren Koordination des Informationsaustausches, untereinander und mit dem BSI
– Senkung der Hemmschwelle für das Melden von Störungen, die eventuell künftig zu Ausfällen führen könnten.

Aber wer betreibt eigentlich kritische Infrastrukturen?

In der „Verordnung zur Bestimmung Kritischer Infrastrukturen“ (kurz: KritisV) wird daher konkret definiert wer oder was genau eine kritische Infrastruktur ist und enthält genaue Definitionen, wann ein Unternehmen in Deutschland als Kritis-Betreiber fungiert.

Hierzu gibt es eine Reihe an Kriterien, die ein Unternehmen erfüllen muss. Diese sind:
– Das Unternehmen muss in einem der folgenden Bereichen tätig sein: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen
– Es muss mehr als 10 Mitarbeiter beschäftigen oder mehr als 2 Mio. EUR Jahresumsatz haben.
– Es muss mehr als 500.000 Personen in der Bevölkerung versorgen (sog. Schwellenwert)

Sicherlich gibt es viele Unternehmen, die die ersten beiden Kriterien erfüllen. Entscheidend ist hier allerdings der dritte Punkt, der sogenannte Schwellenwert. Nur Unternehmen, die einen Personenkreis von 500.000 Menschen versorgen, gelten als kritische Infrastuktur, da sie für das Funktionieren des Gemeinwesens von wichtiger Bedeutung sind, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Ein wichtiges Kriterium ist daher die sogenannte Kritikalität: Kritikalität ist das relative Maß für die Bedeutsamkeit einer Infrastruktur in Bezug auf die Konsequenzen, die eine Störung oder ein Funktionsausfall für die Versorgung hat.

Aufsicht durch das BSI

Um neue Bedrohungen zu bekämpfen und der zunehmenden Bedeutung der Informations- und Kommunikationstechnologie Rechnung zu tragen, wurde das Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (kurz: BSI-Errichtungsgesetz) am 17.12.1990 verabschiedet. Es trat am 01.01.1991 in Kraft und beinhaltete die Gründung und Einrichtung des jetzigen BSI. Es untersteht seitdem dem Bundesministerium des Innern.

Mit dem Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes, welches dann am 20. August 2009 in Kraft getreten ist, wurde der Grundstein für das noch heute geltende BSI-Gesetz gelegt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich seitdem kontinuierlich um die IT-Sicherheit auf Seiten der Bundesverwaltung gekümmert. Im Zuge des „Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (kurz: IT-Sicherheitsgesetz oder IT-SiG), welches am 25.07.2015 in Kraft getretenen ist, wurde das BSI mit neuen Aufgaben und Befugnissen ausgestattet und ist seitdem auch erstmals Ansprechpartner der Privatwirtschaft.

Aufgaben des BSI

Auswertung & Analyse
Das BSI wertet Protokolldaten sowie Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen aus und analysiert diese. (§ 5 BSIG)
Lagebild
Das BSI sammelt Informationen über Sicherheitslücken und neue Angriffsmuster und erstellt ein Lagebild, damit Angriffe frühzeitig erkannt und Gegenmaßnahmen ergriffen werden können. (§ 4 BSIG)
Warnung
Das BSI warnt die Öffentlichkeit vor Sicherheitslücken in informationstechnischen Produkten und Diensten sowie vor Schadprogrammen. (§ 7 BSIG)
Zertifizierung
Für bestimmte Produkte oder Leistungen kann beim BSI eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden.

Pflichten gegenüber dem BSI

Im Zuge der Verabschiedungs des IT-Sicherheitsgesetzes (IT-SiG) wurde das BSI-Gesetz umfassend geändert. Das BSI übernimmt seitdem folgende Aufgabenfelder:
Alle Betreiber kritischer Infrastruktur haben sich beim BSI zu registrieren. Hierzu kann das Melde- und Informationsportal des BSI verwendet werden.
Betreiber kritischer Infrastruktur müssen erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit ihrer kritischen Dienstleistungen (kDL) haben könnten. Alle Betreiber kritischer Infrastrukturen müssen ab sofort in einem Rhytmus von zwei Jahren dem BSI einen Nachweis erbringen, dass ihre IT-Systeme dem aktuellen Stand der Technik entsprechen. (§ 8a BSIG)
Das BSI sammelt, verarbeitet und analysiert Informationen. Es hat die Pflicht KRITIS-Betreiber unverzüglich bei etwaigen Erkenntnissen (z.B. Sicherheitslücken) zu informieren. (§ 8b BSIG)

Wichtiger Hinweis: Bitte beachten Sie, dass wir keine Steuer- oder Rechtsberatung erbringen dürfen und mit dieser Information keine Steuer- oder Rechtsberatung erbracht wird. Es handelt sich um allgemeine und öffentlich zugängliche Informationen, die auf den jeweiligen Sachverhalt Ihres Unternehmens im Einzelfall anzupassen und aus steuer- und rechtlicher Sicht zu bewerten sind. Bitte holen Sie eine auf Ihre Umstände zugeschnittene Beratung Ihres Steuer- bzw. Rechtsberaters ein, bevor Sie Entscheidungen über die sich in Zusammenhang mit diesem Thema befindlichen Informationen treffen. Für die Richtigkeit der in diesem Artikel enthaltenen Angaben können wir trotz sorgfältiger Prüfung keine Gewähr übernehmen.