Am 31.05.2017 gab das Bundesministerium des Inneren (BMI) bekannt , dass das Kabinett die „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ zur Vervollständigung des IT-Sicherheitsgesetzes (IT-SiG) beschlossen hat. Diese enthält neben einigen „Ergänzungen und Klarstellungen zu den bereits getroffenen Festlegungen“ diejenigen Kriterien, anhand derer Unternehmen, die den Sektoren aus dem „2. Korb“ der KRITIS-Unternehmen angehören, feststellen können, ob sie unter die Regelungen des IT-Sicherheitsgesetzes fallen.

Damit wurden nun ergänzend zu den Sektoren aus dem „1. Korb“

  • Energie
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation

die in der 1. KRITIS-Verordnung schon seit dem 03. Mai 2016 betrachtet worden sind (vgl. hier), nun auch für die Sektoren aus dem „2. Korb“

  • Gesundheit
  • Finanz- und Versicherungswesen
  • Transport und Verkehr

Entscheidungskriterien definiert.

Der zugehörige Referententwurf war im Februar 2017 veröffentlicht worden (vgl. hier); verlinkt in der aktuellen Pressemitteilung des BMI ist nun der Bearbeitungsstand 24.05.2017.

Mit dem Inkrafttreten der Verordnung ist es nun auch für die KRITIS-Unternehmen aus dem „2. Korb“ erforderlich, dem Bundesamt für Sicherheit in der Informationstechnik innerhalb von sechs Monaten eine Kontaktstelle zu benennen. Ferner ist nun auch hier die 24-monatige Frist angebrochen, um angemessene Sicherheitsmaßnahmen zu etablieren (s. §§ 8b Absatz 3 bzw. 8a Absatz 1 BSI-Gesetz).