Am 03.05.2016 ist die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisVO) in Kraft getreten. Die Verordnung konkretisiert den Begriff der „Kritischen Infrastrukturen“ (KRITIS) nach dem BSI-Gesetz (BSIG). KRITIS-Betreiber sind aufgrund von Änderungen des BSIG durch das IT-Sicherheitsgesetz zur Einhaltung eines Mindeststandards an IT-Sicherheit verpflichtet und müssen erhebliche Sicherheitsvorfälle an das BSI melden.

Die BSI-KritisVO enthält Kriterien für KRITIS der Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung. Bis Anfang 2017 sollen entsprechende Konkretisierungen für die Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen folgen.

KRITIS-Betreiber haben nun zwei Jahre Zeit, um angemessene organisatorische und technische Vorkehrungen zum Schutz der für die KRITIS maßgeblichen Systeme, Komponenten und Prozesse zu treffen. Mittelbar ist die Verordnung allerdings auch für IT-Provider relevant, da KRITIS-Betreiber diese in Zukunft vertraglich auf die Einhaltung entsprechender Mindeststandards verpflichten werden, um ihren gesetzlichen Pflichten nach dem BSIG nachkommen zu können.