07.04.2017
Digitalisierung

Verbändeanhörung zur KRITIS-Verordnung beendet

Im Jahr 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Die zugehörige Rechtsverordnung definiert mittels sogenannter Schwellenwerte die vom Gesetz betroffenen Unternehmen. Der Verband hat sich mit dem Ziel einer effektiven Umsetzung – entsprechend der IT-Sicherheitsanforderungen der Versicherungswirtschaft – am Konsultationsverfahren beteiligt. Die Rechtsverordnung soll Ende April 2017 im Kabinett beschlossen werden.

Mit Konkretisierung des zweiten Korbs der KRITIS-Verordnung werden die bis dahin von der Versicherungswirtschaft freiwillig erfüllten IT-Sicherheitslevel gesetzlich vorgeschrieben. Dazu legt die Rechtsverordnung nach einheitlichen Kriterien Schwellenwerte fest, nach denen die gesetzlichen Vorgaben des IT-Sicherheitsgesetz erfüllt werden müssen. Überschreitet ein Unternehmen einen der Schwellenwerte, so gilt es als kritisch und muss für die betroffenen Anlagen (=Anwendungssysteme) die Anforderungen des Gesetzes vollständig umsetzen.

Ein Unternehmen fällt demnach in den Anwendungsbereich des Gesetzes, wenn es jährlich entweder
– im Bereich Lebensversicherung 500.000 Leistungsfälle,
– im Bereich Krankenversicherung 2.000.000 Leistungsfälle oder
– im Bereich Kompositversicherungen 500.000 Schadenfälle (im Durchschnitt der letzten drei Jahre)
abwickelt.

Der Verband begrüßt die mit Augenmaß definierten Schwellenwerte und die damit einhergehende Rechtssicherheit. Im Rahmen der Stellungnahme sowie ergänzend in der Anhörung am 28. März 2017 wurden einige notwendige Änderungsvorschläge eingebracht, um die oben genannten Schwellenwerte effektiv umsetzen zu können.

Downloads

pdf bild
Stellungnahme

zum Referentenentwurf des Bundesministeriums des Innern "Erste Verordnung zur Änderung der BSI-Kritisverordnung"

Schlagworte