Schlagwort: Kritische Infrastrukturen

Bundesregierung legt Entwurf für IT-Sicherheitsgesetz 2.0 vor

26. Februar 2021

Im Jahre 2015 wurde das erste Sicherheitsgesetz verabschiedet (wir berichteten). Dieses soll reformiert werden, wozu schon seit 1,5 Jahren ein Gesetzgebungsverfahren läuft. Der aktuelle Gesetzesentwurf ist vom 25. Januar 2021. Damit soll Bedrohungen für die Cybersicherheit, die sich für Staat, Wirtschaft und Gesellschaft gleichermaßen ergeben, entgegengewirkt werden.

Änderungen betreffen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung sowie das Zehnte Buch Sozialgesetzbuch (SGB X).

Im Mittelunkt steht die Stärkung der Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es soll zukünftig als nationale Cybersicherheitszertifizierungsbehörde im Sinne des EU Cybersecurity Acts (Verordnung EU/2019/881) fungieren sowie als allgemeine Stelle für Sicherheit in der Informationstechnik.

Der Aufgabenbereich soll insbesondere folgende Punkte umfassen:

  • Das BSI soll Befugnisse bekommen, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen mit Hilfe von Port-Scans aufzudecken sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots).
  • Das BSI soll zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes zwölf Monate lang Protokolldaten speichern. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.
  • Betreiber kritischer Netzwerkkomponenten müssen vor Inbetriebnahme ein komplexes Zulassungsverfahren durchlaufen und vom BSI zertifiziert werden. Netzbetreiber müssen garantieren, dass technische Komponenten vertrauenswürdig sind. Das BSI kann von Betreibern kritischer Infrastrukturen oder Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen.
  • Das BSI führt Produkt- oder Leistungszertifizierungen für die Bundesverwaltung durch. Im Rahmen der Zertifizierung haben betroffene Ministerien ein Mitspracherecht.
  • Der Verbraucherschutz soll mit einem „IT-Sicherheitskennzeichen“ für die IT-Sicherheit von Produkten verbessert werden. Es beinhaltet eine Erklärung des Herstellers, in welcher dieser das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts zusichert und eine Information des BSI über sicherheitsrelevante IT-Eigenschaften. Die Einhaltung dieser Vorgaben wird vom BSI in regelmäßigen Abständen überprüft.
  • Das BSI spricht Empfehlungen für Identifizierungs- und Authentisierungsverfahren aus und legt den Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte fest.

Der aktuelle Entwurf ist noch nicht von Bundestag verabschiedet worden, so dass sich noch weitere Änderungen ergeben können. Wir halten Sie auf dem Laufenden!

Gesetz zur Umsetzung der NIS-Richtlinie in Kraft getreten

4. Juli 2017

Am 30.06.2017 ist das Gesetz zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) in Kraft getreten.

Damit werden u. a. die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert: Vor allem werden die Aufsichts- und Durchsetzungsbefugnisse des BSI über die Betreiber Kritischer Infrastrukturen ergänzend zum IT-Sicherheitsgesetz ausgeweitet. Außerdem wird mit der Richtlinie und ihren Umsetzungsgesetzen ein einheitlicher Rechtsrahmen für den Auf- und Ausbau nationaler Kapazitäten für die Cyber-Sicherheit geschaffen. Eine weiteres wichtiges Ziel, Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen zu kreieren, wurde ebenfalls erreicht.

Darüber hinaus trat zeitgleich die erste Verordnung zur Änderung der BSI-Kritisverordnung vom 03.05.2016 in Kraft. Druch sie werden die kritischen Infrastrukturen, bislang Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, um die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.

Bundesministerium des Inneren stellt Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen vor

17. Februar 2016

Nachdem im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (BSIG) geändert wurde, stellt das Bundesministerium des Inneren (BMI) den Entwurf einer Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) vor.

 
Im Rahmen der Änderungen des BSIG im vergangenen Sommer wurden unter anderem die §§ 8a ff. BSIG eingeführt. Diese Vorschriften verpflichten die Betreiber von Kritischen Infrastrukturen besondere Sicherheitsmaßnahmen zu treffen, um Mindestsicherheitsstandards für informationstechnische Systeme zu implementieren. Wer bisher eine kritische Infrastruktur betrieb, war nicht eindeutig geregelt. Das BMI hat zwischenzeitlich von seiner Verordnungsermächtigung Gebrauch gemacht und in einem ersten Korb der Verordnung teilweise bestimmt, welche Anlagen unter den Begriff „Kritische Infrastruktur“ zu subsumieren sind. Auf dieser Grundlage lässt sich ein erster Adressatenkreis des BSIG bestimmen.

 
In diesem ersten Korb werden Schwellenwerte für Anlagen und Dienstleistungen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung festgelegt. Hierbei ging der Verordnungsgeber in drei Schritten vor, wobei jeweils mit Vertretern der verschiedenen Branchen zusammengearbeitet wurde. In einem ersten Schritt wurde abgestimmt, welche Dienstleistungen eines Sektors als kritisch anzusehen sind. In einem zweiten Schritt wurden die Anlagenkategorien identifiziert, die zur Erbringung dieser Dienstleistung erforderlich sind. Schließlich werden in der BSI-KritisV Schwellenwerte für solche Anlagen und Teile von Anlagen festgelegt, die als hinreichend bedeutsame Anlagen zur Versorgung der Allgemeinheit als Kritische Infrastrukturen gelten.

 
Nach Schätzungen des BMI erfüllen circa 680 Anlagen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation und Ernährung die Schwellenwerte der BSI-KritisV. Im Frühjahr 2016 soll die BSI-KritisV in Kraft treten. Ab dem Zeitpunkt des Inkrafttretens haben die betroffenen Betreiber Kritischer Infrastrukturen 2 Jahre Zeit, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

 
Für die übrigen Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen sollen bis Ende 2016 Bestimmungen zur Definition Kritischer Infrastrukturen festgelegt werden.