Berlin. Künftig müssen mehr Unternehmen schwere IT-Sicherheitsvorfälle verbindlich melden und sich besser vor Hacker-Angriffen schützen. Das Bundeskabinett brachte am Mittwoch eine Verordnung auf den Weg, die regelt, welche Unternehmen aus den Sektoren Transport und Verkehr, Finanzen, Versicherungen und Gesundheit unter die Vorgaben des neuen IT-Sicherheitsgesetzes fallen. Betroffen seien 918 „kritische Infrastrukturen“, heißt es in der Verordnung, die noch im Juni in Kraft treten soll.
Kontaktstellen benennen
Die Betreiber werden verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und der Behörde innerhalb von zwei Jahren durch Auditierungsverfahren nachzuweisen, einen Mindeststandard an IT-Sicherheit einzuhalten. Im Bereich Transport und Verkehr fallen 56 IT-Anlagen im Schienenverkehr und 79 im Straßenverkehr unter die Meldepflicht bei Cyberattacken. Die zweite Kritis-Verordnung soll im Juni in Kraft treten.
Die Verbände des Speditions- und Logistikgewerbes hatten aber gegen den hohen Aufwand und die bisweilen zu strengen Anforderungen an ihre Mitgliedsunternehmen protestiert und praxisnähere Bestimmungen gefordert. Daraufhin wollte das zuständige Bundesinnenministerium die zweite Kritis-Verordnung noch einmal überarbeiten. Bei Missachtung drohen Bußgelder von bis zu 100.000 Euro.
DSLV: Kompromiss gefunden
Der Deutsche Speditions- und Logistikverband (DSLV) begrüßt die am Mittwoch vom Kabinett auf den Weg gebrachte Verordnung zum IT-Sicherheitsgesetz. Die beschlossene Erste Verordnung zur Änderung der BSI-Kritis-Verordnung schaffe einen verbindlichen Rechtsrahmen für Maßnahmen zur IT-Sicherheit, sagte Hauptgeschäftsführer Frank Huster. Der Forderung nach allgemeinverbindlichen Definitionen für die heterogene Logistikbranche wurde größtenteils entsprochen, so Huster. Anstelle spezifischer Regelungen für die einzelnen Teilmärkte des Sektors Transport und Verkehr wurden demnach Schwellenwerte gefunden, bei deren Überschreiten die in der Kritis-Verordnung beschriebenen Maßnahmen gelten.
Die von der Kritis-Verordnung erfassten Logistikunternehmen erfüllen laut DSLV bereits die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Standards zur IT-Sicherheit. Sie müssen lallerdings die Kontaktstelle einreichten und Auditierungsverfahren etablieren. (dpa/ks/ag)