Mit dem IT-Sicherheitsgesetz vom 17.7.2015 und der 1. Änderungsverordnung zur BSI-Kritisverordnung vom 21.6.2017 hat der Gesetzgeber Anforderungen an die Betreiber kritischer Infrastrukturen normiert, damit diese auch im Kontext zunehmender Digitalisierung und wachsender Bedrohung durch Cyberkriminalität ihre für das Allgemeinwohl wichtigen Dienstleistungen dauerhaft und stabil erbringen können.

Die Umsetzungshinweise haben folgende Schwerpunkte:

  • Kriterien, die zur Einordnung als kritische Infrastruktur herangezogen werden, (z. B. Anlagenbegriff, Schwellenwert) sowie
  • umzusetzende Maßnahmen zum Meldewesen und hierfür geltende Fristen (insbesondere die ab 30.12.2017 notwendige Einrichtung einer Kontaktstelle).

Die Umsetzungshinweise liegen aktuell in einer Version 0.9 vor, eine Finalisierung ist für Anfang 2018 vorgesehen. Insbesondere die Kriterien zur Anlagendefinition wurden bereits mit den zuständigen Ministerien (BMI, BMG) abgestimmt und können schon jetzt für die Identifikation herangezogen werden.

Die Hinweise nehmen den derzeit in Entwicklung befindlichen Entwurf eines sog. „branchenspezifischen Sicherheitsstandards (B3S)“ nicht vorweg, sie werden nach dessen Veröffentlichung entsprechend ergänzt. Darüber hinaus greifen sie die Handlungsempfehlungen des Verbandes der Universitäts¬klinika Deutschlands (VUD) zum Meldewesen nach dem BSI-Gesetz auf.

Über die Finalisierung und Freigabe der endgültigen Fassung wird die Geschäftsstelle voraussichtlich Ende Januar 2018 gesondert informieren.