Kabinett beschließt Verordnung zur IT-Sicherheit

Am Mittwoch hat die Bundesregierung der vom Bundesminister des Innern, Dr. Thomas de Maizière, vorgelegten Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen zugestimmt. „Um die Lebensadern unserer vernetzten Gesellschaft in der heutigen Zeit effektiver zu schützen, müssen Wirtschaft und Staat eng zusammenarbeiten“, sagte der CDU-Politiker.

Die Verordnung wird noch im Juni 2017 in Kraft treten und somit sind die Betreiber von Kritischen Infrastrukturen verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.

Regelungsbereich endlich für alle greifbar

Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden. Anhand messbarer und nachvollziehbarer Kriterien werden die Betreiber vor allem aber endlich in die Lage gesetzt, konkret anhand der Vorgaben zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen.

Dies betrifft die Sektoren Finanz- und Versicherungswesen, Gesundheit und Transport und Verkehr. Die Regelungen für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung sind bereits seit dem 3. Mai 2016 in Kraft.

De Maizière warnt vor Stillstand

Mit der vorliegenden Änderungsverordnung wird die Vorgabe des § 10 Absatz 1 Satz 1 BSI-Gesetz nunmehr abschließend umgesetzt. Die Aufarbeitung der einzelnen Sektoren sei nicht immer leicht gewesen, sagte de Maizière. „Dennoch ist es uns gelungen, eine für alle Seiten gute Lösung zu finden“, so der Bundesinnenminister.

Man sei zufrieden mit dem Beschluss, aber „dass wir hier noch Aufgaben vor uns haben, haben die Cyberangriffe durch die Ransomware WannaCry vor wenigen Wochen eindrucksvoll belegt.“