Art.Nr.: K1440_2023
VDV- Schrift 440: Branchenanforderungen an die IT-Sicherheit - ÖPNV & Schienenverkehr der nichtbundeseigenen Eisenbahnen (NE) [Print]
Ausgabe 02/2023
Im Sommer 2015 wurde das IT-Sicherheitsgesetz (IT-SiG) verabschiedet. Prinzipiell sind Unternehmen, die im Sektor „Transport und Verkehr“ tätig sind, von diesem Gesetz betroffen, wobei die konkreten Kriterien der Betroffenheit in der Rechtsverordnung BSI-KritisV definiert sind.
Die Ziele des Gesetzes sind
— den Schutz der Bevölkerung in der Bundesrepublik Deutschland in Anlehnung an § 1 Nr. 3 BSI- Kritisverordnung die „Dienstleistung zur Versorgung der Allgemeinheit, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde“ sicherzustellen,
— die Sicherheit informationstechnischer Systeme kontinuierlich zu verbessern,
— die Systeme im Hinblick auf Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität kontinuierlich zu
schützen, sowie
— dem BMI / BSI entsprechende Daten zur Ermittlung von IT-Bedrohungslagen zur Verfügung zu stellen.
— Das Gesetz fordert von den Betreibern kritischer Infrastrukturen
— die Einhaltung eines Mindeststandards in der IT-Sicherheit unter Berücksichtigung des Standes der Technik
sowie dessen Nachweis durch Sicherheitsaudits,
— die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI, um das BSI in die Lage zu versetzen, ein
kontinuierliches IT-Sicherheits-Lagebild aufbauen zu können.
— Für den Sektor Transport und Verkehr wurde die BSI-KritisV am 29. Juni 2017 veröffentlicht. Sie regelt:
— welche Dienstleistung als „kritische Dienstleistung“ anzusehen ist,
— welche technischen Anlagenarten als relevant für die kritischen Dienstleistungen anzusehen sind und
— welche Bemessungsgrenze und welcher Schwellwert zur Bestimmung der Anlagen kritischer Infrastrukturen
heranzuziehen sind.
Nach Vorgabe des Gesetzgebers hat jedes Unternehmen selbstständig zu prüfen, ob es eine kritische Dienstleistung erbringt und wenn ja, ob es definierte technische Anlagen betreibt, die oberhalb des festgelegten Schwellwertes liegen. Wenn ein Unternehmen feststellt, dass es eine so definierte kritische Anlage betreibt, ist es aufgefordert, sich nach den Regeln des BSI-Gesetzes innerhalb von 6 Monaten nach Veröffentlichung der BSI-KritisV beim BSI selbstständig zu melden, eine Kontaktstelle einzurichten und bekanntzugeben.
Innerhalb von 2 Jahren ist dann auch die dem Stand der Technik entsprechende Qualität der IT-Sicherheit für diese Anlage gegenüber dem BSI nachzuweisen.
Die Überprüfung der Betroffenheit ist von den Unternehmen jährlich vorzunehmen.
224,70 EUR
inkl. 7 % MwSt. zzgl. Versandkosten