IT-Sicherheitsgesetz – Erster Verordnungsentwurf veröffentlicht
Das Bundesinnenministerium hat heute Vormittag den lang ersehnten ersten Referentenentwurf zum IT-Sicherheitsgesetz veröffentlicht.
Was ist passiert?
Bereits im vergangenen Jahr wurde das IT-Sicherheitsgesetz verabschiedet. Es regelt u.a., dass Betreiber kritischer Infrastrukturen zur Umsetzung von Mindeststandards verpflichtet werden. Nähere Hinweise hierzu finden Sie hier.
Bislang wußte jedoch keiner wirklich, welche Unternehmen nun unter den Begriff des „Betreibers kritischer Infrastrukturen“ fallen. Heute lichten sich die Wolken, denn der Referentenentwurf legt konkrete Schwellenwerte fest. So sind sieben Branchen (Sektoren: Informationstechnik, Telekommunikation, Energie, Ernährung, Finanz-/Versicherungswesen, Gesundheit, Wasser) und rund 700 Anlagen vom IT-Sicherheitsgesetz betroffen. Der Regelwert liegt nun gemäß Entwurf bei „500.000“. Sind also 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig, fällt die dazugehörige Anlage unter die Meldepflicht. Im IT-Sektor sind nur insgesamt bundesweit 30 Anlagen betroffen (Rechenzentren, Server-Farmen, Trustcenter). Hier gilt ausnahmsweise nicht die 500.000-Regel, sondern es sind solche Rechenzentren betroffen, die eine Jahresdurchschnittsleistung von 5 Megawatt aufweisen. Bei Server-Farmen ist der Schwellwert ab durchschnittlich 25.000 laufenden Instanzen und bei Content-Lieferern ab 75.000 Terrybytes im Jahr erreicht. Trustcenter sind „Betreiber kritischer Infrastrukturen“, wenn 500.000 personenbezogene Zertifikate verwaltet oder analog dazu 10.000 TLS-Zertifikate ausgegeben wurden.
Warum ist das wichtig für Sie?
Tatsächlich ergibt sich nun erstmals aus dem Entwurf der Rechtsverordnung, dass nur insgesamt 700 Anlagen betroffen sind. Die meisten Leser können sich daher wohl zurücklehnen. Diejenigen Unternehmen, die nun als „Betreiber kritischer Infrastrukturen“ eingestuft werden, haben einen umfangreichen Maßnahmenkatalog auf- und umzusetzen, denn die Sanktionen bei Nichteinhaltung des IT-Sicherheitsgesetzes sind umfangreich (Bußgeld bis zu EUR 100.000,-).
Was ist zu tun?
Für normale Unternehmen ist nichts weiter zu unternehmen. Allerdings sollten Sie natürlich § 13 VII TMG beachten, der durch das IT-Sicherheitsgesetz neu eingeführt wurde. Hiernach sind Websites nun nach dem Stand der Technik zu sichern. Diese Pflicht bestand zuvor nicht. Die KRITIS-Unternehmen haben nach Inkrafttreten der Verordnung 6 Monate Zeit, ein Meldeverfahren zum BSI zu realisieren und eine Kontaktstelle einzurichten. Innerhalb von zwei Jahren sind dann die Mindeststandards zur IT-Sicherheits umzusetzen. Weitere Informationen finden Sie hier.