Das in Deutschland geltende BSI Gesetz wurde bereits im Sommer 2015 durch das IT-Sicherheitsgesetz angepasst und ist nun in durch die Version 2.0 aktualisiert und erweitert worden. Es setzt unter anderem dort an, wo sich unsere Gesellschaft Ausfälle am wenigsten leisten kann: bei den IT-Systemen der Kritischen Infrastrukturen.
Unternehmen, welche kritische Infrastrukturen (KRITIS) betreiben, sind durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) dazu verpflichtet, bestimmte Mindest-Sicherheitsstandards für ihre IT-Infrastrukturen einzuhalten.
Im Gegensatz zu den sonst üblichen drei Jahren bis zur nächsten Re-Zertifizierung, erfolgt die KRITIS-Prüfung alle 2 Jahre gemäß §8 BSI-Gesetz.
Die Bundesregierung definiert Kritische Infrastrukturen wie folgt:
„Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
KRITIS-Unternehmen haben eine Meldepflicht für erhebliche Störungen oder vermutete Störungen der Unternehmens-IT gegenüber dem BSI. Hierzu zählen unter anderem Sicherheitslücken, unbekannte Schadsoftware, Spear-Fishing und außergewöhnliche oder unerwartete IT-technische Defekte, z.B. nach Software-Updates.
