Meldepflicht für mehr Firmen bei Cyberangriffen
Die Bundesregierung hat am Mittwoch eine Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen auf den Weg gebracht. Dadurch wächst die Zahl der betroffenen Unternehmen.
Künftig müssen mehr Unternehmen als bisher schwere IT-Sicherheitsvorfälle verbindlich melden. Das Kabinett hat am Mittwoch eine Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen auf den Weg gebracht. Sie regelt, welche Firmen aus den Sektoren Transport, Verkehr, Finanzen, Versicherungen und Gesundheit unter die Vorgaben des IT-Sicherheitsgesetzes fallen. Betroffen seien 918 "kritische Infrastrukturen", heißt es in der Verordnung.
Die Betreiber werden verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und der Behörde innerhalb von zwei Jahren nachzuweisen, einen Mindeststandard an IT-Sicherheit einzuhalten. Die Regelungen für Firmen aus den Bereichen Energie, IT, Telekommunikation, Wasser und Ernährung – laut Regierung insgesamt 730 Anlagen – sind bereits seit Mai 2016 in Kraft.
"Wesentlich für das öffentliche Leben"
"Kritische Infrastrukturen" sind Einrichtungen, die wesentlich für das öffentliche Leben sind und deren Störung oder Ausfall drastische Folgen haben würden. Darunter fallen Energie- oder Telekommunikationsnetze, Banken, Börsen, Versicherungen, Verwaltungsbehörden oder Krankenhäuser, aber auch Verkehrsbetriebe oder Wasserversorger.
Ziel des bereits 2015 beschlossenen IT-Sicherheitsgesetzes ist, dass sich Firmen aus solchen sensiblen Bereichen besser vor Cyberangriffen schützen. Sie werden verpflichtet, Attacken auf ihre Computersysteme zu melden und Mindeststandards zur IT-Sicherheit einzuhalten. (anw)
