Mehr Sicherheit durch mehr Pflichten, oder?!

Laut Bundesregierung verbessert das IT-Sicherheitsgesetz den Schutz der Bürger und der Unternehmen im Internet. Das Ziel des Gesetzes ist nichts weniger, als „die digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen.“ Um das zu erreichen stärkt das Gesetz  die Stellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die des Bundeskriminalamtes (BKA). Zudem werden Unternehmen besondere Pflichten auferlegt um Sicherheitslücken besser und schneller schließen zu können.

Mit den durch das Gesetz geregelten Maßnahmen sollen weitreichende, gesellschaftliche Folgen, die ein Ausfall oder eine Beeinträchtigung kritischer Infrastrukturangebote nach sich ziehen könnte, verhindert oder abgemildert werden. Wichtiger Bestandteil des Gesetzes ist die Verpflichtung sogenannter „Betreiber kritischer Infrastrukturen“ (KRITIS) auf ein Mindestmaß an IT-Sicherheit. Die KRITIS trifft zudem eine Pflicht zur Meldung von IT-Sicherheitsvorfällen. Bei einer Missachtung drohen Bußgelder. Auch Hard- und Software-Hersteller trifft eine Mitwirkungspflicht bei der Beseitigung von Sicherheitslücken.

Insbesondere die Frage danach, wer ein KRITIS im Sinne des IT-Sicherheitsgesetzes ist, lässt sich nicht sofort und einzig anhand des Gesetzes beantworten. Betroffen sind jedenfalls Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen (vgl.: BT-Drucksache 18/4096, Seite 23). In Kürze soll eine Verordnung mehr Klarheit bringen und den Kreis konkreter fassen. Ob im Einzelnen also eine KRITIS-Einstufung gilt, wird erst nach Verabschiedung der Rechtsverordnung feststellbar sein. Laut Gesetzesbegründung sollen insgesamt nicht mehr als 2.000 Unternehmen betroffen sein; dieser Schätzung ist mit Blick auf die bestehenden Unklarheiten aber mit großer Vorsicht zu begegnen.