IT-Sicherheitsgesetz: Kritische Infrastrukturen sind definiert

In der aktuellen Diskussion um das wird immer wieder darauf verwiesen, dass noch eine Rechtsverordnung zu erlassen ist, die näher definiert, wer Betreiber Kritischer Infrastrukturen ist. Allerdings gibt es bereits im aktuellen Gesetzesentwurf in dem geplanten § 2 Abs. 10 des BSI-Gesetzes eine Definition. Kritische Infrastruktur nach dem geplanten Gesetz sind Einrichtungen, Anlagen oder Teile davon, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben. Es wird darauf verwiesen, dass beispielsweise deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdung der öffentlichen Sicherheit nach sich ziehen. Weiterhin muss es sich um aus den Bereichen Transport und Verkehr, Gesundheit, Wasser, Ernährung, Energie, Informationstechnik und Telekommunikation sowie Finanz- und Versicherungswesen handeln.

Zwar wird dann darauf verwiesen, dass in der Rechtsverordnung noch eine nähere Bestimmung erfolgt. Das Gesetz lässt aber sofort eine Definition der Kritischen Infrastrukturen zu. Das bedeutet in der Praxis, dass das Gesetz auch sofort anwendbar ist.

In dem neuen § 8a IT-Sicherheitsgesetz wird dann allerdings die Verpflichtung zeitlich von dem Erlass der Rechtsverordnung nach § 10 Abs. 1 BSI-Gesetz abhängig gemacht. Spätestens zwei Jahre nach Inkrafttreten dieser Rechtsverordnung sollen Kritische Infrastrukturen angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der IT-Infrastruktur zu vermeiden. Dabei ist der Stand der Technik zu berücksichtigen.

Es soll dem Eindruck entgegengetreten werden, dass nach den gesetzlichen Regelungen noch genügend Zeit ist. Das Gesetz sagt nur, dass die entsprechenden Maßnahmen spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung umzusetzen sind. Das bedeutet aber nicht, dass betroffene Unternehmen abwarten sollten. Gerade auch mit  Blick auf mögliche Haftungsrisiken, beispielsweise gegenüber Vertragspartnern, empfehlen wir eine alsbaldige Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz.

Auch das Warten auf die in § 8a Abs. 2 BSI-Gesetz geplanten branchenspezifischen Sicherheitsstandards ist nicht zu empfehlen. Zwar werden durch diese Sicherheitsstandards langfristig weitere Detaillierungen für die Maßnahmen zur IT-Sicherheit vorgenommen. Allerdings tritt das Gesetz sofort in Kraft und enthält durchaus Regelungen, die gleich anwendbar sind, beispielsweise Anforderungen hinsichtlich des Betreibens von Telemedien- und Internetseiten.

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*