Viele Fragen, wenige Antworten – Änderung der KRITIS-Verordnung | Kommentar

LinkedInXingPocketWhatsAppFlipboard

Marius BrüggemannDie Bundesregierung hat die Änderung der KRITIS-Verordnung beschlossen und teilweise ist noch vollkommen unklar, was auf Unternehmen zukommt. Ein Kommentar von Marius Brüggemann, IT-Sicherheitsexperte bei AirITSystems.

Ende Mai hat die Bundesregierung einer Änderung der KRITIS-Verordnung zugestimmt. Nun fallen auch Betriebe aus den Sektoren Finanz- und Versicherungswesen, Gesundheit und Transport und Verkehr unter bestimmten Voraussetzungen unter die Regelungen des IT-Sicherheitsgesetzes. Was auf die Unternehmen zukommt, ist teilweise jedoch noch völlig unklar. 

Anzeige

Der erste Entwurf der Änderung der KRITIS-Verordnung hat bereits für Unruhe gesorgt. Schon im Vorfeld der Abstimmung formierten sich Vertreter aus der Luftfahrtbranche und wandten sich gemeinsam an das Bundesministerium des Inneren. Der Grund war unter anderem der zunächst viel zu niedrige Schwellenwert, der dazu führte, dass auch mittlere und kleine Flughäfen als Betreiber kritischer Infrastruktur galten. Ihr Aufbegehren zeigte Erfolg. Der zunächst scheinbar fundiert berechnete Wert wurde kurzerhand hochgesetzt.

Das zeigt aber auch, wie dehnbar die Bestimmungen rund um die Änderung aktuell noch sind. Die einzuhaltenden Mindeststandards für Unternehmen, die unter das IT-Sicherheitsgesetz fallen, sind noch unvollständig und ungenau. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird sie Schritt für Schritt ergänzen. Die ersten Unternehmen müssen sich jedoch schon im kommenden Jahr auf die Einhaltung dieser Standards prüfen lassen. Genauso unpräzise ist die Definition, was unter einem schweren IT-Sicherheitsvorfall zu verstehen ist, den KRITIS-relevante Unternehmen in Zukunft melden müssen.

Es stellt sich die Frage, gegen welche Norm das BSI in Zukunft prüfen wird. Statt sich auf bestehende Normen wie den eigenen IT-Grundschutz oder die ISO 27000 zu beziehen, erfindet das Ministerium aktuell das Rad neu. Die Leidtragenden sind dabei die Unternehmen, die mit immer neuen Anforderungen rechnen müssen, die in immer weniger Zeit umzusetzen sind.

www.airitsystems.de
 


Anzeige

Weitere Artikel

Cyber & Cloud Security
Chefetagen sehen in IT-Security keine Wettbewerbsvorteile
Cyber & Cloud Security
Wird Open Banking die Zukunft des Finanzwesens verändern?
Cyber & Cloud Security
US-Behörde bestätigt unsicheren Einsatz von Microsofts Cloud-Services
Business Software
Hypershield: Sicherheit für das KI-Zeitalter
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.