Am vergangenen Mittwoch hat die Bundesregierung dem zweiten Korb des IT-Sicherheitsgesetzes zugestimmt. Es steht nun endlich fest, welche Unternehmen konkret von dem Gesetz betroffen sind.
Was ist passiert?
Bereits am 25.07.2015 war das IT-Sicherheitsgesetz in Kraft getreten. Für die Sektoren Energie, Wasser, Telekommunikation und Informationstechnik war allerdings erst Anfang Mai 2016 festgestellt worden, welche Unternehmen genau als „Betreiber kritischer Infrastrukturen“ gelten. Am Mittwoch sind nun die Festlegungen für die restlichen Sektoren Gesundheit, Finanz-/Versicherungswesen und Transport/Verkehr getroffen worden. Den aktuellen Verordnungsentwurf finden Sie hier. Nach Inkrafttreten (wohl Mitte Juni) gilt für die betreffenden Unternehmen dieser Sektoren die zweijährige Umsetzungsfrist.
Warum ist das wichtig für Sie?
Die Verordnung war insbesondere von Unternehmen der Transportbranche mit Spannung erwartet worden. Es steht nun u.a. fest, dass die Schwellenwerte bei Betreiben von Logistikzentren bei 17 Mio. Tonnen Gütermenge im Jahr liegen. Die gestrige Entscheidung der Bundesregierung betrifft den Großteil der deutschen Unternehmen nicht. Nur 918 Unternehmen fallen nach der Verordnung für diese Sektoren unter den Begriff des „Betreibers kritischer Infrastrukturen“ und müssen daher die erhöhten Anforderungen u.a. des § 8a BSI-Gesetz erfüllen. Insgesamt sind über alle Sektoren nun wohl 1699 Betreiber betroffen.
Was ist zu tun?
Falls Sie über den in der Verordnung benannten Schwellenwerte liegen, müssen Sie handeln. Es gilt für die Sektoren Energie, Wasser, Telekommunikation und Informationstechnik eine Restfrist bis Mai kommenden Jahres, für die Sektoren Gesundheit, Finanz-/Versicherungswesen und Transport/Verkehr eine Frist bis wohl Juni 2019 für die Umsetzung der neuen Anforderungen.
