Kritische Infrastruktur: Meldepflicht für IT-Vorfälle deutlich erweitert

Künftig müssen mehr Unternehmen schwere IT-Sicherheitsvorfälle verbindlich melden. Das Kabinett brachte am Mittwoch eine Verordnung auf den Weg, die regelt, welche Firmen aus den Sektoren Transport, Verkehr, Finanzen, Versicherungen und Gesundheit unter die Vorgaben des IT-Sicherheitsgesetzes fallen. Betroffen seien 918 "kritische Infrastrukturen", heißt es in der 76-seitigen Verordnung.

Zu den betroffenen Einrichtungen im Gesundheitsbereich zählen 110 Krankenhäuser und 151 Einrichtungen zur Medikamentenversorgung. Alleine 176 Anlagen für die Bargeldversorgung und 113 für Versicherungsdienste fallen unter die Verordnung. Im Bereich Verkehr müssen 56 IT-Anlagen im Schienenverkehr und 79 im Straßenverkehr mögliche Cyberattacken melden.

Deutschlandweit 1.648 kritische Infrastruktur-Einrichtungen

Die Betreiber werden verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und der Behörde innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Die Regelungen für Firmen aus den Bereichen Energie, IT, Telekommunikation, Wasser und Ernährung - laut Regierung 730 Anlagen - sind bereits seit Mai 2016 in Kraft. Anstatt der ursprünglich erwarteten 2.000 betroffenen Einrichtungen sind es nun insgesamt 1.648.

Einrichtungen, die zur "kritischen Infrastruktur" gezählt werden, sind wesentlich für das öffentliche Leben. Deren Störung oder Ausfall würde drastische Folgen haben. Darunter fallen Energie- oder Telekommunikationsnetze, Banken, Börsen, Versicherungen, Verwaltungsbehörden oder Krankenhäuser, aber auch Verkehrsbetriebe oder Wasserversorger.

Ziel des im Juni 2015 beschlossenen IT-Sicherheitsgesetzes ist es, dass sich Firmen aus solchen sensiblen Bereichen besser vor Cyberangriffen schützen. Sie werden verpflichtet, Attacken auf ihre Computersysteme zu melden und Mindeststandards zur IT-Sicherheit einzuhalten.