Das schreibt das IT-Sicherheitsgesetz (PDF-Link) vor, das seit Samstag in Kraft ist. Die Betreiber von wichtigen Infrastrukturanlagen haben nun zwei Jahre Zeit, um den Schutz ihrer Systeme zu verbessern. Dafür können sie branchenweite Standards vorschlagen, die dann etwa für alle Energieversorger oder alle Banken gelten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) muss den Vorschlägen der Unternehmen zustimmen.
Schwerwiegende Angriffe müssen Unternehmen aus diesen wichtigen Branchen an das BSI melden. Die Behörde will sich so einen besseren Überblick über drohende Gefahren verschaffen. Für Kernkraftwerke und Telekommunikationsunternehmen gelte diese Meldepflicht ab sofort, teilte das Bundesinnenministerium am Freitag mit. Für andere Unternehmen, die als "kritische Infrastrukturen" gelten, legt das Ministerium noch Regeln für die Meldung fest.
Das BSI will zudem Mindeststandards für die IT-Systeme von Bundesbehörden festlegen. Auch Betreiber von Online-Shops müssen ihre Technik auf dem neuesten Stand halten, um Kundendaten zu schützen. (dpa/tc)