Am 3. Mai 2016 ist die Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz (BSI-Kritisverordnung – BSI-KritisV) in Kraft getreten. Der Cyber-Sicherheitsrat Deutschland e.V. sieht die Verordnung als einen wichtigen Schritt bei der Implementierung des IT-Sicherheitsgesetzes. Er fordert jedoch, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Verpflichtungen gegenüber den Betreibern Kritischer Infrastrukturen (KRITIS) nachkommt und deren Erwartungen an das IT-Sicherheitsgesetz in Zukunft erfüllt. Dazu gehört auch das in der Rechtsverordnung verankerte Recht der KRITIS-Betreiber auf „privilegierte Beratung und Information“ durch das BSI. Eine solche Hilfestellung seitens des BSI erscheint angesichts dessen jetziger Ressourcen allerdings nur schwer umsetzbar.
„In der Rechtsverordnung rechnet das BSI mit sieben Meldungen von erheblichen IT-Sicherheitsvorfällen für jede KRITIS-Anlage pro Jahr. Bei 730 Anlagen ergibt das über 5000 Meldungen jährlich, die beim BSI eingehen und von ihm bearbeitet und bewertet werden müssen. Hinzu kommen noch die Meldungen der Anlagen aus den Sektoren Gesundheit, Transport und Verkehr sowie Finanz- und Versicherungswesen. Diese müssen in der noch ausstehenden Änderungsverordnung definiert werden“, so Philipp v. Saldern, Präsident des Cyber-Sicherheitsrat Deutschland e.V. „Mit der Übertragung und Erweiterung der Kompetenzen des BSI durch das IT-Sicherheitsgesetz wachsen auch dessen Verpflichtungen sowie die Erwartungen seitens der vom Gesetz betroffenen Betreiber. In einer Zeit, in der die Anzahl und Komplexität von Cyber-Angriffen von Tag zu Tag steigt, muss sichergestellt werden, dass das BSI finanziell wie personell in der Lage ist, den Betreibern bei Sicherheitsvorfällen die erforderliche Expertise und Beratung zu liefern. In diesem Punkt herrscht noch Ungewissheit“, schließt v. Saldern.
Die Verordnung bestimmt, welche Anlagen aus den Sektoren Energie, Wasser, IKT und Ernährung als Kritische Infrastrukturen eingestuft werden und somit von den besonderen Meldepflichten und neuen Anforderungen des IT-Sicherheitsgesetzes betroffen sind. Dieser Katalog soll bis Anfang 2017 maßgeblich erweitert werden. Ab Inkrafttreten der Verordnung bleiben den betroffenen Unternehmen sechs Monate Zeit, um eine Kontaktstelle einzurichten und zwei Jahre, um die Verordnung umzusetzen. Es bleibt abzuwarten, ob in dieser Zeitspanne von staatlicher Seite aus geeignete und notwendige Infrastrukturen geschaffen werden, die eine angemessene und schnelle Reaktion auf IT-Sicherheitsvorfälle gewährleisten können.
Der Cyber-Sicherheitsrat Deutschland e.V. wurde im August 2012 von namhaften Persönlichkeiten gegründet. Der in Berlin ansässige Verein ist politisch neutral und hat zum Zweck Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cybersicherheit zu beraten und im Kampf gegen die Cyberkriminalität zu stärken. Zu den Mitgliedern des Vereins zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen sowie zahlreiche Bundesländer und Bundesinstitutionen, Experten und politische Entscheider mit Bezug zum Thema Cybersicherheit. Über seine Mitglieder repräsentiert der Verein etwa zwei Millionen Arbeitnehmer aus der Wirtschaft und über 1,8 Millionen Mitglieder aus Verbänden und Vereinen. Der Cyber-Sicherheitsrat Deutschland e.V. informiert und unterstützt mit vielfältigen Angeboten seine Mitglieder und richtet seine Tätigkeiten an deren operativen und betrieblichen Bedürfnissen aus.
V.i.S.d.P.: Hans-Wilhelm Dünn, Generalsekretär, Cyber-Sicherheitsrat Deutschland e.V.
Kontakt: Lorenzo Paolo Cau, Referent, Telefon: 030 / 6796 365 27, Email: cau@p36294.ngcobalt133.manitu.net
[shariff]