Am 03.05.2016 ist der erste Teil der KRITIS-Verordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten. In dieser sind für die Sektoren Energie, Wasser, Informationstechnik, Telekommunikation und Ernährung die Kriterien und Schwellwerte definiert, nach denen die Unternehmen als kritische Infrastruktur bestimmt werden.

Als zentraler Schwellwert wird dabei die Zahl von 500.000 Personen, die von den Auswirkungen einer etwaigen Störung der durch die Unternehmen erbrachten Dienstleistungen betroffen sind, zugrunde gelegt. Der zweite Teil der KRITIS-Verordnung mit den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen folgte bis Anfang 2017.

Bedeutung für Betreiber kritischer Infrastrukturen

Für die nach der aktuellen Verordnung als Betreiber kritischer Infrastrukturen eingestuften Unternehmen gilt mit einer Frist von sechs Monaten ab dem Inkrafttreten der Verordnung die Verpflichtung zum Aufbau von Kommunikationsstrukturen und zur Benennung einer Kontaktstelle. Über diese Kontaktstelle sind dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche Störungen der von ihnen betriebenen kritischen Infrastrukturen unverzüglich zu melden.

Weiterhin sind die Betreiber kritischer Infrastrukturen verpflichtet, spätestens zwei Jahre nach Inkrafttreten dieser Verordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Diese sind maßgeblich für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen. Ein Nachweis, dass diese Vorkehrungen wirksam implementiert sind, ist darüber hinaus alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen zu erbringen. Mit Inkrafttreten der Verordnung zum 03.05.2016 bleibt den als kritische Infrastruktur eingestuften Unternehmen also nur noch bis zum Mai 2018 Zeit, um entsprechende technische und organisatorische Maßnahmen umzusetzen.

Fazit

Unternehmen, die zu den oben genannten Sektoren gehören, sollten daher umgehend prüfen, ob sie zu den Betreibern „Kritischer Infrastrukturen“ gehören. Ein zeitnahes Handeln ist dann geboten, um sicherzustellen, dass geeignete technische und organisatorische Schutzmaßnahmen getroffen sowie ein wirksames IT-Sicherheitsmanagement implementiert sind. Aber auch Unternehmen, die nicht zu diesem Kreis gehören, sollten sich nicht zurücklehnen, denn IT-Sicherheit ist vor dem Hintergrund der stetig wachsenden Bedrohungslage durch Cyberangriffe nicht nur ein Thema für kritische Infrastrukturen.