Das BSI-Gesetz gibt schon seit 2009 die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor, die ursprünglich v.a. in der Stärkung der IT-Sicherheit der Bundesbehörden und sonstiger Einrichtungen des Bundes lagen. Mit dem IT-Sicherheitsgesetz wurden im Jahr 2015 erstmals kritische Infrastrukturen und diesbezügliche Aufgaben des BSI definiert und seitdem fortentwickelt.[1] Das BSI-Gesetz (BSIG) enthält seitdem auch die Pflichten der Kritis-Betreiber. Gem. §8a des geltenden BSIG müssen Betreiber kritischer Infrastrukturen die Einhaltung der IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen. Zudem dient das BSI nach § 8b BSIG als zentrale Meldestelle für die IT-Sicherheit kritischer Infrastrukturen. Kritis-Betreiber müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Umgekehrt soll das BSI relevante Informationen zur Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen sammeln, bewerten und an die Kritis-Betreiber sowie die zuständigen (Aufsichts-)Behörden weiterleiten.
Sofern bei Kritis-Betreibern meldepflichtige Störungen der IT auftreten, darf das BSI auch die Hersteller der entsprechenden IT-Produkte und -systeme gemäß § 8b BSIG zur Mitwirkung verpflichten. Das BSI besitzt zudem die Befugnis, IT-Produkte auf ihre Sicherheit hin zu untersuchen, um die öffentlichen Stellen, die Kritis-Betreiber und die allgemeine Öffentlichkeit vor Gefahren zu warnen. Zudem kann das BSI den Kritis-Betreibern ebenso wie den Stellen des Bundes und anderen Unternehmen operative Hilfe bei der Bewältigung von Hacker-Angriffen anbieten. Dafür hat das BSI sog. Mobile Response Teams eingerichtet, d. h. schnelle Eingreiftruppen von IT-Spezialisten, die Unternehmen, Behörden und andere Institutionen wie z. B. Krankenhäuser bei der Beseitigung von Schadprogrammen unterstützen können. Das BSI ist also nicht nur eine Behörde, die IT-Sicherheitsmaßnahmen der Kritis-Betreiber überwacht. Vielmehr ist das BSI partnerschaftlicher Teil der IT-Sicherheitsarchitektur in Deutschland und versucht über den Informationsaustausch mit Kritis-Betreibern und die Bündelung von Kräften zur Beseitigung konkreter Gefahren kooperativ die in Deutschland vorhandene IT-Sicherheitsexpertise bestmöglich im gesamtwirtschaftlichen und staatlichen Interesse einzusetzen. Dabei ergänzt das BSI sich mit den sektoralen Regulierungs- und Aufsichtsbehörden. Sektorale Behörden, wie die BaFin für den Finanzsektor, können sich bei ihrer Regulierung und Aufsichtspraxis auch auf allgemeine fachliche Standards des BSI beziehen, wie das IT-Grundschutz-Kompendium oder den Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) als aktuellen Sicherheitsstandard für die Bereitstellung von Cloud-Computing Diensten.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen