IT-Sicherheitsgesetz
ISO 27000, News

Entwurf für ein IT-Sicherheitsgesetz (IT-SIG) veröffentlicht

von safe-rkaim
/

Die Bundesregierung hat aktuell einen Gesetzentwurf für ein IT-Sicherheitsgesetz (IT-SIG) vorgelegt, der durch schärfere Vorschriften dafür sorgen soll, dass wichtige deutsche Unternehmensbereiche künftig besser vor Cyber-Attacken geschützt sind. Dieses Gesetz regelt einige wichtige Aspekte:

  • Definition kritischer Infrastrukturen (KRITIS)
    KRITIS sind Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
    Die Bundesregierung hat mit den relevanten Behörden bereits eine (vorläufige) Einteilung in KRITIS-Sektoren und Branchen vorgenommen, welche unter das IT-Sicherheitsgesetz (IT-SiG) fallen:

    Kritis-Sektor Branchen und Betreiber
    Staat und Verwaltung Bundes-, Landes- und Kommunalverwaltung, Ministerien, Sicherheitsbehörden
    Energie Strom, Gas, Öl und Wärme, Stadtwerke, Kraftwerke, Stromnetze, Gasförderung, Gasnetze
    Gesundheit Krankenhäuser, Krankentransport, Arztpraxen, Apotheken
    Informationstechnik und Telekommunikation IT, Telekommunikation und Internet, Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber
    Transport und Verkehr Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstrassen, Bahnbetreiber, Bahnnetze, ÖPNV
    Medien und Kultur Zeitungen, Rundfunk, Fernsehen, Medien
    Wasser Wasserversorgung, Wasserwerke, Wassernetze
    Finanz- und Versicherungswesen Banken, Versicherungen, Finanzdienstleister, Börsen
    Ernährung  Nahrungsmittelherstellung, Lager, Verteilung
  • Die genannten Betreiber kritischer Infrastrukturen müssen künftig Sicherheitsvorfälle melden. Um den Schutz der Bürger zu verbessern, müssen die genannten Organisationen Mindeststandards der IT-Sicherheit umsetzen (z.B. ISO 27001 oder BSI IT-Grundschutz) und sich regelmäßig (alle 2 Jahre) extern auditieren lassen.
  • Im aktuellen Gesetzentwurf ist eine Ausnahmeregelung für Kleinstunternehmen mit weniger als 10 Mitarbeiter und einem Jahresumsatz von < 2 Mio. Euro vorgesehen.

Weitere Informationen zu dem Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) finden Sie in der Drucksache 18/4096.