Das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" bringt zunächst verschärfte Anforderungen für Webserver-Betreiber und Meldepflichten für Telekommunikations-Provider und Kernkraftwerks-Betreiber.

Für sonstige Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen gilt das erst, wenn entsprechende Rechtsverordnungen in Abstimmung von BSI und Branchenverbänden in Kraft treten.

Bisher heißt es allgemein: "Betreiber kritischer Infrastrukturen müssen angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten oder Prozesse zu vermeiden, wenn diese für die Funktionsfähigkeit der jeweiligen Infrastruktur maßgeblich sind".
Sinnvoll ist ganz sicher die Abschottung kritischer Prozesse von öffentlichen Netzen.

Das BSI soll alle Meldungen zu Vorfällen der Betreiber kritischer Infrastukturen auswerten.
Erkannte Schwachstellen müssen dem BSI gemeldet werden. Wobei ich mir reiflich überlegen würde, ob ich meine verwundbare Stelle wirklich einer Stelle wie dem BSI verraten würde.
Das Amt soll anordnen können, dass Produkt- und Systemhersteller "in zumutbarem Umfang" dabei helfen, Lücken abzudichten und Störungen zu beseitigen.

Update 8.2.2016: Das BSI hat die Messtabelle zur Ermittlung der Meldepflicht vorgestellt. Danach fallen alle Anlagen unter die Meldepflicht, die 500.000 und mehr Bürger versorgen.

 

Posted: 09.02.2016   /  Updated: 18.06.2018


Neuer Kommentar, Anmerkung oder Hinweis