BSI-KritisV
Was die BSI Kritisverordnung für Betreiber kritischer Infrastrukturen bedeutet
Nachweisverfahren nach §8a (3) BSIG
Ausgangslage/rechtliche Grundlagen
Am 24.07.2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz „IT-Sicherheitsgesetz“ (IT-SiG) in Kraft getreten. Das Gesetz fordert von Betreibern „Kritischer Infrastrukturen“, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, u.a. folgende Maßnahmen, die im novellierten BSI-Gesetz (BSIG) unter § 8a (1) zu finden sind:
„Betreiber Kritischer Infrastrukturen sind demnach verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“
Gemäß § 8a Abs. 3 BSI-Gesetz „haben die Betreiber Kritischer Infrastrukturen mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen“.