Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Das Gesetz wurde am Freitag 12. Juni 2015 verabschiedet. Rechtsverordnungen legen fest, wer als Betreiber kritischer Infrastrukturen gilt und den Anforderungen des Gesetzes unterliegt. Zu den Anforderungen zĂ€hlen die Herstellung eines Mindestniveaus an IT-Sicherheit nach Branchen-Standards, Nachweise mittels Zertifizierungen hierĂŒber sowie eine Meldepflicht bei Störungen. Ein VerstoĂ gegen das Gesetz ist mit BuĂgeldern bis 100.000 Euro bewehrt.
Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das andere Gesetze Àndert und ergÀnzt. In erster Linie betrifft dies das BSI-Gesetz.
“Um Defiziten im Bereich der IT-Sicherheit insbesondere auch auĂerhalb der Bundesverwaltung wirksam zu begegnen, wurde das BSI mit neuen Aufgaben und Befugnissen ausgestattet:
- Nach § 8a BSIG Betreiber Kritischer Infrastrukturen, mĂŒssen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmĂ€Ăig gegenĂŒber dem BSI nachweisen. Sofern SicherheitsmĂ€ngel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
- Das BSI wird nach § 8b BSIG die zentrale Meldestelle fĂŒr die IT-Sicherheit Kritischer Infrastrukturen. Diese mĂŒssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die VerfĂŒgbarkeit kritischer Dienstleistungen haben können. Umgekehrt hat das BSI sĂ€mtliche fĂŒr Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zustĂ€ndigen (Aufsichts-)Behörden weiterzuleiten.
- Sofern bei einem Betreiber Kritischer Infrastrukturen meldepflichtige Störungen der IT auftreten, darf das BSI erforderlichenfalls auch die Hersteller der entsprechenden IT-Produkte und -systeme gemÀà § 8b BSIG zur Mitwirkung verpflichten.
- Dem BSI wird die Befugnis eingerÀumt, zur Wahrnehmung seiner Aufgaben nach § 3 Abs. 1 S. 2 Nr. 1, 14 und 17 BSIG, IT-Produkte auf ihre Sicherheit hin zu untersuchen.
- Die Befugnis des BSI aus § 5 BSIG zur Analyse von Schnittstellen- und Protokolldaten in den Netzen der Bundesverwaltung wird dahingehend erweitert, dass die Bundesbehörden das BSI nunmehr bei dieser TĂ€tigkeit unterstĂŒtzen mĂŒssen.
- Zur StĂ€rkung der IT-Sicherheit der Bundesverwaltung wird das BSI verpflichtet, Mindeststandards fĂŒr die IT der Bundesverwaltung zu erarbeiten. Die Möglichkeit des BMI, diese Mindeststandards fĂŒr alle Behörden als verbindlich zu erklĂ€ren, wird erleichtert, da nur noch das Benehmen (statt des Einvernehmens) mit dem IT-Rat hergestellt werden muss.”
Die Erstellung der Rechtsverordnungen zur Umsetzung des IT-Sicherheitsgesetzes erfolgt in 2016 in zwei Losen:
Los 1: Energie, IT + TK, ErnÀhrung, Wasser im 1. Qrt. 2016
Los 2: Finanzen, Transport + Verkehr, Gesundheit im 4. Qrt. 2016.