Die wesentlichen Auswirkungen auf die Unternehmen sind Folgende:
- Sie müssen angemessene Maßnahmen zum Schutz der informationstechnischen Komponenten treffen, die für die Funktionsfähigkeit der betriebenen kritischen Infrastruktur maßgeblich sind.
- Die Erfüllung dieser Maßnahmen muss mindestens alle 2 Jahre dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgewiesen werden. Dies kann durch Audits, Prüfungen oder Zertifizierungen erfolgen.
- Sie müssen eine jederzeit erreichbare Kontaktstelle benennen, über die das BSI Informationen zur Abwehr von Gefahren übermittelt.
- Schließlich müssen sie Störungen der Sicherheit der informationstechnischen Komponenten, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das BSI melden.
Da in manchen Sektoren der kritischen Infrastrukturen bereits ähnliche gesetzliche Verpflichtungen bestehen, sind von diesen Regelungen Betreiber kritischer Infrastrukturen ausgenommen, wenn sie
- ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,
- Betreiber von Energieversorgungsnetzen oder Energieanlagen sind,
- Genehmigungsinhaber gemäß Atomgesetz sind oder
- auf Grund sonstiger Rechtsvorschriften vergleichbare Anforderungen erfüllen müssen.
Diese Unternehmen werden allerdings durch entsprechende Änderungen des Atomgesetzes, des Energiewirtschaftsgesetzes, des Telemediengesetzes und des Telekommunikationsgesetzes in ähnlicher Weise verpflichtet. Weiterhin sind Kleinstunternehmer gemäß der Empfehlung 2003/361/EG der EU-Kommission vollständig ausgenommen. Die Regelungen treten in Kraft, sobald durch eine Rechtsverordnung genauer bestimmt ist, was als kritische Infrastruktur zu zählen ist.
