Pressemitteilung | Cyber-Sicherheitsrat Deutschland e.V.

IT-Sicherheitsgesetz: Erfolgreiche Umsetzung setzt mehr Ressourcen voraus

(Berlin) - Am 3. Mai 2016 ist die Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz (BSI-Kritisverordnung - BSI-KritisV) in Kraft getreten. Der Cyber-Sicherheitsrat Deutschland e.V. sieht die Verordnung als einen wichtigen Schritt bei der Implementierung des IT-Sicherheitsgesetzes. Er fordert jedoch, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Verpflichtungen gegenüber den Betreibern Kritischer Infrastrukturen (KRITIS) nachkommt und deren Erwartungen an das IT-Sicherheitsgesetz in Zukunft erfüllt. Dazu gehört auch das in der Rechtsverordnung verankerte Recht der KRITIS-Betreiber auf "privilegierte Beratung und Information" durch das BSI. Eine solche Hilfestellung seitens des BSI erscheint angesichts dessen jetziger Ressourcen allerdings nur schwer umsetzbar.

"In der Rechtsverordnung rechnet das BSI mit sieben Meldungen von erheblichen IT-Sicherheitsvorfällen für jede KRITIS-Anlage pro Jahr. Bei 730 Anlagen ergibt das über 5000 Meldungen jährlich, die beim BSI eingehen und von ihm bearbeitet und bewertet werden müssen. Hinzu kommen noch die Meldungen der Anlagen aus den Sektoren Gesundheit, Transport und Verkehr sowie Finanz- und Versicherungswesen. Diese müssen in der noch ausstehenden Änderungsverordnung definiert werden", so Philipp v. Saldern, Präsident des Cyber-Sicherheitsrat Deutschland e.V. "Mit der Übertragung und Erweiterung der Kompetenzen des BSI durch das IT-Sicherheitsgesetz wachsen auch dessen Verpflichtungen sowie die Erwartungen seitens der vom Gesetz betroffenen Betreiber. In einer Zeit, in der die Anzahl und Komplexität von Cyber-Angriffen von Tag zu Tag steigt, muss sichergestellt werden, dass das BSI finanziell wie personell in der Lage ist, den Betreibern bei Sicherheitsvorfällen die erforderliche Expertise und Beratung zu liefern. In diesem Punkt herrscht noch Ungewissheit", schließt v. Saldern.

Die Verordnung bestimmt, welche Anlagen aus den Sektoren Energie, Wasser, IKT und Ernährung als Kritische Infrastrukturen eingestuft werden und somit von den besonderen Meldepflichten und neuen Anforderungen des IT-Sicherheitsgesetzes betroffen sind. Dieser Katalog soll bis Anfang 2017 maßgeblich erweitert werden. Ab Inkrafttreten der Verordnung bleiben den betroffenen Unternehmen sechs Monate Zeit, um eine Kontaktstelle einzurichten und zwei Jahre, um die Verordnung umzusetzen. Es bleibt abzuwarten, ob in dieser Zeitspanne von staatlicher Seite aus geeignete und notwendige Infrastrukturen geschaffen werden, die eine angemessene und schnelle Reaktion auf IT-Sicherheitsvorfälle gewährleisten können.

Quelle und Kontaktadresse:
Cyber-Sicherheitsrat Deutschland e.V. Pressestelle Georgenstr. 22, 10117 Berlin Telefon: (030) 6796365-18, Fax: (030) 6796365-29

NEWS TEILEN: