Nachdem am 3. Mai 2016 der erste Korb der BSI-Kritis-Verordnung in Kraft getreten ist, steht in vier Sektoren Kritischer Infrastrukturen (Energie, Informationstechnik und Telekommunikation, Wasser, Ernährung) konkret fest, welche Anlagen und somit welche Betreiber unter die KRITIS-Neuregelungen des IT-Sicherheitsgesetzes fallen. Dabei wurde die Verordnung in einem kooperativen Prozess unter Einbindung der Branchenarbeitskreise des UP KRITIS vorbereitet und letztlich vom Bundesministerium des Innern in Kraft gesetzt. Der zweite Teil der Verordnung, der die verbleibenden drei Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit regelt, wird aktuell erarbeitet.
Viele Betreiber Kritischer Infrastrukturen sichern aktuell ihre IT nach Stand der Technik ab bzw. überprüfen die vorhandene Absicherung. Hintergrund sind entsprechende Anforderungen im neu gestalteten BSI-Gesetz. Um die Absicherung der IT einheitlich und mit guter Qualität umsetzen zu können, arbeiten mehrere Branchen im Rahmen der Branchenarbeitskreise des UP KRITIS an der Erstellung von branchenspezifischen Sicherheitsstandards. Das BSI hat hierzu mit dem UP KRITIS eine Orientierungshilfe veröffentlicht, die die Anforderungen an solche Standards und somit auch an die Umsetzung des § 8a BSIG formuliert.
Für den Bereich der Energieversorgungsnetze wurde ein etwas anderer Weg beschritten: Hier hat die Bundesnetzagentur (BNetzA) im Benehmen mit dem BSI einen IT-Sicherheitskatalog für Energienetzbetreiber veröffentlicht. Darin werden die Anforderungen an diese KRITIS-Betreiber definiert, die sie binnen zwei Jahren umzusetzen haben. Zwischenzeitlich wurden zudem Anforderungen an Zertifizierungsstellen veröffentlicht und somit die notwendige Grundlage gelegt, damit Energienetzbetreiber mit der geforderten Zertifizierung ihrer IT beginnen können.
Wie vom Gesetz intendiert, verschickt das BSI anlassbezogen Warn- und Lageinformationen an die bereits registrierten Kontaktstellen der KRITIS-Betreiber sowie an die für Kritische Infrastrukturen zuständigen Behörden. Grundlage für die BSI-Informationen sind neben öffentlichen, vertraulichen und eigenen Quellen neuerdings auch die Vorfallsmeldungen der KRITIS-Betreiber, die im BSI entgegengenommen, analysiert und im Hinblick auf potentielle Auswirkungen analysiert werden. Ziel ist es, stets über ein Gesamtlagebild zu verfügen und – zu allererst – Betreiber Kritischer Infrastrukturen rechtzeitig zu warnen, sodass diese notwendige Schutzmaßnahmen vor Schadenseintritt umsetzen können.
Um das zu erreichen, müssen sich alle verpflichteten Betreiber registrieren. Hierfür haben die Betreiber der in Korb 1 der BSI-Kritis-Verordnung geregelten Sektoren noch bis zum 3. November 2016 Zeit. Das IT-Sicherheitsgesetz wird nach Ansicht des BSI jedoch nicht nur bei den verpflichteten Betreibern Wirkung erzeugen. Das BSI ist überzeugt, dass die in Erstellung befindlichen branchenspezifischen Sicherheitsstandards und die im Ausbau befindlichen Warn- und Kommunikationsstrukturen auch über den Kreis der eigentlich Verpflichteten Ausstrahlwirkung erzeugen werden.
Die Umsetzung der KRITIS-Neuregelungen im IT-Sicherheitsgesetz erfolgt dabei weitgehend kooperativ, zumeist im Rahmen der etablierten Kooperation UP KRITIS, die sich 2016 vorrangig der guten Umsetzung des IT-Sicherheitsgesetzes widmet. Betreiber Kritischer Infrastrukturen, Verbände und staatliche Stellen sind sich einig, dass die Themen IT- und Cyber-Sicherheit höchste Priorität in der Kooperation haben. Seit Inkrafttreten des IT-Sicherheitsgesetzes konnten mehrere neue Branchenarbeitskreise gegründet werden. Die Teilnehmerzahl des UP KRITIS hat sich binnen eines Jahres verdoppelt und stieg ein Jahr nach Inkrafttreten des IT-Sicherheitsgesetzes auf rund 380 Organisationen. Das Thema IT-Sicherheit wird somit in Folge des IT-Sicherheitsgesetzes in deutlich mehr Organisationen aktiv adressiert.