Am 03.05.2016 trat die von Bundesinnenminister Dr. Thomas de Maizière vorgelegte Ministerverordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) in Kraft. Veröffentlicht wurde es im Bundesgesetzblatt Nr. 20 am 02.05.2016 (dort auf Seite 958); das Gesetz datiert vom 22.04.2016.
Bestimmung Kritischer Infrastrukturen
Wie bereits im Artikel „Identifizierung Kritischer Infrastrukturen“ (s. obenstehenden Link) dargestellt, können Betreiber mit der Verordnung feststellen, ob die von ihnen betriebenen Anlagen kritische Infrastrukturen sind und unter das IT-Sicherheitsgesetz fallen oder nicht.
Soweit sie betroffen sind, werden sie verpflichtet, dem BSI erhebliche Störungen ihrer informationstechnischen Systeme – je nach Sektor spätestens nach einer Übergangsfrist von sechs Monaten – zu melden und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.
Weitere Änderungsverordnung folgt
Die Verordnung bestimmt zunächst Kritische Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung.
Bis Anfang 2017 sollen per Änderungsverordnung auch die Anlagen in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen identifizierbar werden. Dies wird die dritte Komponente des Gesamtpaketes sein.