Am 31.05.2017 gab das Bundesministerium des Inneren (BMI) bekannt , dass das Kabinett die „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ zur Vervollständigung des IT-Sicherheitsgesetzes (IT-SiG) beschlossen hat. Diese enthält neben einigen „Ergänzungen und Klarstellungen zu den bereits getroffenen Festlegungen“ diejenigen Kriterien, anhand derer Unternehmen, die den Sektoren aus dem „2. Korb“ der KRITIS-Unternehmen angehören, feststellen können, ob sie unter die Regelungen des IT-Sicherheitsgesetzes fallen.

Damit wurden nun ergänzend zu den Sektoren aus dem „1. Korb“

  • Energie
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation

die in der 1. KRITIS-Verordnung schon seit dem 03. Mai 2016 betrachtet worden sind (vgl. hier), nun auch für die Sektoren aus dem „2. Korb“

  • Gesundheit
  • Finanz- und Versicherungswesen
  • Transport und Verkehr

Entscheidungskriterien definiert.

Der zugehörige Referententwurf war im Februar 2017 veröffentlicht worden (vgl. hier); verlinkt in der aktuellen Pressemitteilung des BMI ist nun der Bearbeitungsstand 24.05.2017.

Mit dem Inkrafttreten der Verordnung wird es auch für die KRITIS-Unternehmen aus dem „2. Korb“ erforderlich werden, dem Bundesamt für Sicherheit in der Informationstechnik innerhalb von sechs Monaten eine Kontaktstelle zu benennen. Ferner wird mit Abschluss des Verordnungsverfahrens auch hier die 24-monatige Frist anbrechen, um angemessene Sicherheitsmaßnahmen zu etablieren (s. §§ 8b Absatz 3 bzw. 8a Absatz 1 BSI-Gesetz).

Update 03.07.2017:

Durch die Veröffentlichung im Bundesgesetzblatt am 29.06.2017 ist nun auch die Ausweitung auf den “2.Korb” rechtskräftig.