{"id":746,"date":"2017-07-05T12:13:45","date_gmt":"2017-07-05T12:13:45","guid":{"rendered":"https:\/\/blog.esmt.org\/dsi\/?p=746"},"modified":"2018-01-12T13:59:15","modified_gmt":"2018-01-12T13:59:15","slug":"it-sicherheitsgesetz-anforderung-fur-gesundheitswesen-banken-versicherungen-verkehr-und-logistik-in-kraft-getreten","status":"publish","type":"post","link":"https:\/\/blog.esmt.org\/dsi\/general\/it-sicherheitsgesetz-anforderung-fur-gesundheitswesen-banken-versicherungen-verkehr-und-logistik-in-kraft-getreten\/","title":{"rendered":"IT-Sicherheitsgesetz: Anforderung f\u00fcr Gesundheitswesen, Banken, Versicherungen, Verkehr und Logistik in Kraft getreten"},"content":{"rendered":"

Mit dem IT-Sicherheitsgesetz vom 25. Juli 2015<\/em> sind in Deutschland umfangreiche Anforderungen an die Betreiber kritischer Infrastrukturen verabschiedet worden, ihre IT-Systeme vor Angriffen zu sch\u00fctzen. Die Betreiber kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ern\u00e4hrung, Informationstechnik und Telekommunikation (IKT), Gesundheit, Finanz- und Versicherungswesen sowie Transport und Logistik m\u00fcssen die f\u00fcr kritische Dienstleistungen ben\u00f6tigten Anlagen durch Ma\u00dfnahmen nach dem “Stand der Technik” absichern sowie St\u00f6rung dieser Systeme dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) zu melden. Das Gesetz selbst definiert allerdings nicht, welche Dienstleistungen der genannten Sektoren als kritisch anzusehen sind und welche Anlagen hierf\u00fcr ben\u00f6tigt werden. Das Gesetz erm\u00e4chtigt das Bundesministerium des Innern (BMI), im Einvernehmen mit weiteren Bundesministerien sowie nach Konsultation der Branchenverb\u00e4nde eine Verordnung zu erlassen, die genauer definiert, welche Dienstleistungen betroffen sind. Insbesondere muss BMI branchenspezifische Schwellwerte definieren, ab denen der Versorgungsgrad einer Dienstleistung als kritisch anzusehen ist. Die Verpflichtung zum Ergreifen der Sicherheitsma\u00dfnahmen und die Meldepflicht treffen den Betreiber kritischer Dienstleistungen erst zwei Jahre nach Inkrafttreten dieser Verordnung, da er erst ab diesem Zeitpunkt absehen kann, welche Ma\u00dfnahmen in welchem Umfang zu ergreifen sind.<\/p>\n

Die Erstellung dieser Rechtsverordnung war eine \u00fcberaus komplizierte Angelegenheit, weil dazu f\u00fcr jeden Sektor im Dialog mit den Branchenverb\u00e4nden und den jeweiligen Fachministerien zu ermitteln war, von welchen Dienstleistungen das Funktionieren eines Sektors abh\u00e4ngt, in welchem Ma\u00dfe (IKT-)Ausf\u00e4lle kritisch sind und wie man entsprechende branchenspezifische Schwellwerte definieren kann. Zur Vorbereitung dieser Arbeit hatte das BSI f\u00fcr jeden der Sektoren eine umfangreiche Studie erstellen lassen, die die Leistungserbringung im Sektor analysiert. Wegen der Komplexit\u00e4t der Aufgabe ist BMI schrittweise vorgegangen und die Verordnung in zwei K\u00f6rbe aufgeteilt: Im ersten Schritt wurde am 3. Mai 2016 eine Verordnung f\u00fcr die Sektoren Energie, Wasser, Ern\u00e4hrung, Informationstechnik und Telekommunikation (IKT) erlassen (BSI-Kritisverordnung<\/em>). F\u00fcr die dort genannten Dienstleistungen werden technisch-organisatorische Ma\u00dfnahmen schon ab Mai 2018 verpflichtend (und bu\u00dfgeldbewehrt). BMI sch\u00e4tzt die Gesamtzahl der vom ersten Korb betroffenen Anlagen auf bundesweit 730.<\/p>\n

Nun ist der zweite Korb fertig gestellt worden. Mit der Ersten Verordnung zur \u00c4nderung der BSI-Kritisverordnung<\/em> werden auch die kritischen Dienstleistungen und Schwellwerte f\u00fcr das Gesundheitswesen, Banken und Versicherungen sowie Transport und Logistik festgelegt. Die Verordnung trat am 30. Juni 2017 in Kraft. Betreiber der betroffenen Dienstleistungen dieser drei Sektoren haben nun zwei Jahre bis Mitte 2019 Zeit, die Vorgaben des IT-Sicherheitsgesetzes zu erf\u00fcllen. Insgesamt werden nach Sch\u00e4tzungen des BMI in den drei Sektoren weitere 915 Anlagen zum Kreis der verpflichteten kritischen Infrastrukturen hinzugef\u00fcgt. Die Anzahl der Betreiber liegt etwas geringer, da manche Betreiber mehrere Dienstleistungen erbringen und daf\u00fcr Anlagen betreiben. Insgesamt d\u00fcrften vom IT-Sicherheitsgesetz in Summe 1200 bis 1500 Unternehmen (und \u00f6ffentliche Einrichtungen) betroffen sein.<\/p>\n

Im Einzelnen hat die Bundesregierung f\u00fcr die drei neu geregelten Sektoren folgende Dienstleistungen in die Verpflichtung aufgenommen:<\/p>\n

(a) Gesundheitswesen<\/strong><\/p>\n

Die Bedeutung des Sektors Gesundheit als kritische Infrastruktur ist evident. Die Verordnung konzentriert sich auf den Ersten Gesundheitsmarkt und nimmt dort vor allem die Leistungserbringer-Seite in den Blick. Krankenversicherungen werden im Sektor Banken und Versicherungen betrachtet. Auf die Aufnahme einzelner \u00c4rzte und Apotheken wird verzichtet. Stattdessen konzentriert man sich auf gro\u00dfe Krankenh\u00e4user, Hersteller, gro\u00dfe Labors, wichtige Vertriebseinrichtungen. Entsprechend der Orientierung an einem Versorgungsgrad von 500.000 Menschen werden folgende Dienstleistungen erfasst (in Klammern jeweils die vom BMI gesch\u00e4tzte Zahl der betroffenen Anlagen):<\/p>\n