Die Bundesregierung hat aktuell einen Gesetzentwurf für ein IT-Sicherheitsgesetz (IT-SIG) vorgelegt, der durch schärfere Vorschriften dafür sorgen soll, dass wichtige deutsche Unternehmensbereiche künftig besser vor Cyber-Attacken geschützt sind. Dieses Gesetz regelt einige wichtige Aspekte:
- Definition kritischer Infrastrukturen (KRITIS)
KRITIS sind Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Die Bundesregierung hat mit den relevanten Behörden bereits eine (vorläufige) Einteilung in KRITIS-Sektoren und Branchen vorgenommen, welche unter das IT-Sicherheitsgesetz (IT-SiG) fallen:Kritis-Sektor Branchen und Betreiber Staat und Verwaltung Bundes-, Landes- und Kommunalverwaltung, Ministerien, Sicherheitsbehörden Energie Strom, Gas, Öl und Wärme, Stadtwerke, Kraftwerke, Stromnetze, Gasförderung, Gasnetze Gesundheit Krankenhäuser, Krankentransport, Arztpraxen, Apotheken Informationstechnik und Telekommunikation IT, Telekommunikation und Internet, Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber Transport und Verkehr Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstrassen, Bahnbetreiber, Bahnnetze, ÖPNV Medien und Kultur Zeitungen, Rundfunk, Fernsehen, Medien Wasser Wasserversorgung, Wasserwerke, Wassernetze Finanz- und Versicherungswesen Banken, Versicherungen, Finanzdienstleister, Börsen Ernährung Nahrungsmittelherstellung, Lager, Verteilung
- Die genannten Betreiber kritischer Infrastrukturen müssen künftig Sicherheitsvorfälle melden. Um den Schutz der Bürger zu verbessern, müssen die genannten Organisationen Mindeststandards der IT-Sicherheit umsetzen (z.B. ISO 27001 oder BSI IT-Grundschutz) und sich regelmäßig (alle 2 Jahre) extern auditieren lassen.
- Im aktuellen Gesetzentwurf ist eine Ausnahmeregelung für Kleinstunternehmen mit weniger als 10 Mitarbeiter und einem Jahresumsatz von < 2 Mio. Euro vorgesehen.
Weitere Informationen zu dem Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) finden Sie in der Drucksache 18/4096.