Auf einen Blick: gesetzliche Änderungen beim BSI-Gesetz

Geschrieben von Stefan Pawils am .

Auf einen Blick: gesetzliche Änderungen beim BSI-Gesetz
Teilen Sie diesen Artikel auf:

Wichtige, aktuelle Veränderungen bei Gesetzen, Richtlinien und Verordnungen stellen wir Ihnen in regelmäßigen Abständen in unserem Compliance-Blog vor. Heute: BSI-Gesetz. Überprüfen Sie anhand des Gesetzeskatasters schnell und einfach, ob Ihr Unternehmen betroffen ist.

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV)

Zum „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSI-Gesetz) wurde eine neue Verordnung verabschiedet. Sie konkretisiert das BSIG. Das BSIG regelt die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik. Das Bundesamt ist zuständig für die Informationssicherheit auf nationaler Ebene. Gleichzeitig verpflichtet es Betreiber kritischer Infrastrukturen, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

Kritische Infrastrukturen im Sinne des BSIG

sind Einrichtungen, Anlagen oder Teile davon, die

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Die vorliegende Verordnung bestimmt nun näher die kritischen Infrastrukturen in den Sektoren Energie, Wasser, Ernährung und Informationstechnik und Telekommunikation. Das bedeutet für die Unternehmen, die als kritische Infrastrukturen identifiziert sind, die Pflichten nach dem BSIG zu beachten und innerbetriebliche umzusetzen.

Konkret sind z.B. folgende Pflichten:

  • Treffen von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind
  • mindestens alle zwei Jahre die Erfüllung der vorgenannten Anforderungen auf geeignete Weise nachweisen (z.B. durch Sicherheitsaudits, Prüfung oder Zertifizierungen)
  • Benennung einer Kontaktstelle für die Kommunikationsstrukturen bis spätestens Anfang Dezember 2016
  • Meldung von erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder geführt haben.

 

 

Diesen Blog können Sie abonnieren!

Praxisbeispiele: Erfolgreiche Projekte aus ...

Diese Website nutzt Cookies, um bestmögliche Funktionalität bieten zu können. Genauere Informationen dazu finden Sie in unserer Datenschutzerklärung.

Ich akzeptiere Cookies von dieser Website:

Mehr Informationen zu HTTP-Cookies ...