Die letzte Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) hat einen hohen Standard wichtige Infrastrukturen eingeführt. Dieser soll durch das in Planung befindliche IT-Sicherheitsgesetz 2.0 noch weiter erhöht werden.

1. Umsetzung in den Unternehmen

Betreiber kritischer Infrastrukturen („KRITIS“) sind gem. § 8a Abs. 1 BSIG verpflichtet „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von Ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“. Ob ein Unternehmen als KRITIS einzustufen ist, bestimmt sich durch die BSI KritisV. Maßgebend hierfür ist die Überschreitung eines festgelegten Schwellenwertes.

KRITIS-Betreiber hatten ab Inkrafttreten der BSI‑KritisV zwei Jahre Zeit die Vorkehrungen nach dem Stand der Technik zu treffen. Die dafür maßgeblichen Fristen sind inzwischen abgelaufen. Aus dem Lagebericht des BSI über die IT-Sicherheit in Deutschland 2019 ergibt sich, dass die betroffenen Unternehmen sich intensiv mit dem Thema auseinandergesetzt haben. Insbesondere organisatorische Verbesserungen führten zu einer Verbesserung der IT-Sicherheit im Allgemeinen. Zu diesen Maßnahmen zählen v.a. die Einführung eines Informationssicherheitsmanagementssystems („ISMS“) und die Personalaufstockung der IT-Sicherheitsteams. Gerade die Implementierung eines ISMS wurde häufig durch externe Berater begleitet. Aber auch in technischer Hinsicht fand eine Verbesserung statt, z.B. wurde in vielen KRITIS-Anlagen alte Technik durch neue ersetzt. Insgesamt bescheinigt das BSI den KRITIS-Betreibern eine IT-Sicherheit auf hohem Niveau.

2. Nachweis der KRITIS-Anforderungen

Mit Ablauf der Umsetzungsfrist sowie alle folgenden zwei Jahre haben die KRITIS-Betreiber dem BSI die Erfüllung der Anforderungen nachzuweisen. Für die Folgenachweise bestimmt sich die 2-Jahresfrist taggenau anhand des Einreichungsdatums des vorigen Nachweises. Betreiber, die nunmehr erstmalig den KRITIS-Regelungen unterfallen, müssen die KRITIS-Verpflichtungen der §§ 8a, 8b BSIG zwar unverzüglich umsetzen, haben für den Nachweis der Umsetzung aber zwei Jahre Zeit.

Der Nachweis kann gem. § 8a Abs. 3 Satz 2 BSIG „durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen“. Beim BSI sind grundsätzlich aber nur die Ergebnisse der Prüfung einzureichen. Hierfür stellt das BSI auf ihrer Webseite entsprechende Nachweisformulare bereit. Der vollständige Prüfbericht ist nur auf Nachfrage des BSI vorzulegen. Ausschlaggebend für die Vorlage scheint u.a. auch die Qualifikation der Prüfer zu sein. Die Auswahl derselben liegt in der Verantwortung der KRITIS-Betreiber. Das BSI hat zum Erwerb der Prüfungskompetenz ein Schulungskonzept erarbeitet und empfiehlt den Prüfern den Besuch einer solchen Schulung. Auf seiner Webseite stellt das BSI eine Übersicht über qualifizierte Schulungsanbieter zur Verfügung. Die Ausgestaltung der Prüfung selbst obliegt dem Prüfer selbst. Besteht für das zu prüfende Unternehmen ein branchenspezifischer Sicherheitsstandard („B3S“) mit Eignungsfeststellung des BSI, so empfiehlt es sich, diesen als Prüfungsgrundlage heranzuziehen.

3. Stand der Technik und branchenspezifische Sicherheitsstandards

Was genau unter dem Stand der Technik zu verstehen ist, führen weder Gesetz noch die BSI KritisV oder die Gesetzesbegründung hinreichend aus.

Die vom Gesetzgeber gewünschte Erstellung von B3S dient dazu, dass einzelne Branchen ausgehend von der eigenen Expertise selber Vorgaben zum Stand der Technik formulieren. Auch wenn ein vorhandener B3S nicht zwingend einzuhalten ist, so gibt dieser dennoch gute Ansatzpunkte für betroffene Unternehmen und sorgt nicht zuletzt aufgrund der Tatsache, dass das BSI einen B3S auf seine Eignung prüft, für hinreichende Rechtssicherheit. Folgende B3S wurden vom BSI bisher als geeignet anerkannt: