Erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten
Mit der Verordnung zur Bestimmung Kritischer Infrastrukturen konkretisiert das Bundesministerium des Inneren seit heute, welche Anlagen aus den Bereichen IKT, Energie, Wasser und Ernährung unter die neue Meldepflicht des IT-Sicherheitsgesetz fallen.
(Bild: dpa, Patrick Pleul)
Am heutigen Dienstag ist die von Bundesinnenminister Dr. Thomas de Maizière vorgelegte Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) in Kraft getreten, die das IT-Sicherheitsgesetz ergänzt und konkretisiert. Das IT-Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten und ist Teil eines Gesamtpaketes der Bundesregierung zur Erhöhung der Cyber-Sicherheit kritischer Infrastrukturen. Es verpflichtet Betreiber kritischer Anlagen aus den Bereichen Energie, Informations- und Telekommunikationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, einen Mindeststandard an IT-Sicherheit einzuhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Die neue Verordnung listet die Kriterien auf, anhand derer Betreiber von Infrastrukturen prüfen können, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. Sie bestimmt zunächst die kritischen Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung. Bis Anfang 2017 sollen per Änderungsverordnung auch die Anlagen in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen identifizierbar werden.
Auch Serverfarmen sind kritische Anlagen
Im Bereich Housing fallen alle Rechenzentren mit einer vertraglich vereinbarten Leistung von durchschnittlich 5 MW unter das IT-Sicherheitsgesetz, beim IT-Hosting alle Serverfarmen mit 25.000 laufenden Instanzen sowie alle Content Delivery Networks mit einem ausgelieferten Datenvolumen von 75.000 TByte/Jahr. Bei den Vertrauensdiensten unterliegen Trust-Center, die 500.000 personengebundene Zertifikate oder 10.000 TLS-Zertifikate ausgeben, der neuen Meldepflicht.
Zu den Internet-Anlagen, die unter das IT-Sicherheitsgesetz fallen, gehören zum Beispiel Internetknoten (IXPs) mit mindestens 300 angeschlossenen autonomen Systemen. Betroffen sind auch DNS-Resolver, die im Jahresdurchschnitt von mindestens 2.500.000 IP-Adressen Anfragen pro Tag erhalten und Autoritative DNS-Server, die für 250.000 Domains zuständig sind. (sun)
