Gesetzgebung

Parlamensgebäude des Bundesstaats Washington
Parlamentsgebäude
Land | Gesetz
Beschreibung Jahr Referenz

Europäische Union | "IoT Security Zertifizierung"

  • Im Oktober 2016 wurde bekannt, dass die EU-Kommission plant, Sicherheit spezifisch im Bereich des IoT zu reglementieren.
  • Konkret ist geplant, dass IoT-Systeme Sicherheitsstandards  einhalten müssen und dies durch unabhängige Zertifizierung belegt werden muss.
  • Die konkrete Ausgestaltung und das Datum des Inkrafttretens sind noch offen.
noch offen Bericht auf der Europa-Newsseite EurActiv.com

Europäische Union | Netz- und Informationssicherheit Richtlinie (NIS)

  • EU-Mitgliedsstaaten müssen eine Strategie für Netzwerk- und Informationssicherheit erstellen und eine Fachbehörde für Cybersecurity einrichten.
  • Im Fall von IoT-Sicherheitsvorfällen muss die Fachbehörde informiert werden. Die Fachbehörde erhält auch die Kompetenz, Sicherheitsvorfälle in Unternehmen zu untersuchen.
2016 Entwurf der Richtlinie auf der Seite der Europäischen Kommission

Deutschland |

IT-Sicherheitsgesetz

  • Betreiber kritischer Infrastruktur wie Energie, Wasser, Gesundheit oder Telekommunikation sind verpflichtet, Sicherheitsvorfälle der entsprechenden IoT-Systeme dem BSI zu melden.
  • In jeder der o.g. Branchen müssen Mindeststandards  erfüllt werden. Die Definition und Erarbeitung dieser Sicherheitsstandards hat bis Juli 2017 durch die jeweiligen Branchenverbände zu erfolgen. Die Standards müssen anschliessend durch das Bunsesamt für Sicherheit in der Informationstechnik (BSI) genehmigt werden.
  • Welche Anlagen und Unternehmen genau als kritische Infrastrukturen gelten, wird noch mittels Rechtsverordnungen definiert.
2015 Beschreibung  IT-Sicherheitsgesetz auf Secupedia.info

USA |

Executive Order 13636 "Improving Critical Infrastructure Cybersecurity"

  • Hierbei handelt es sich um einen executive order, also ein direkt durch den Präsidenten erlassene Verordnung.
  • Weist Bundesbehörden an, Betreiber kritischer Infrastrukturen unverzüglich über neue Bedrohungen zu informieren.
  • Ein Cybersecurity Framework spezifisch für die Bedürfnisse kritischer Infrastrukturen ist zu entwickeln. Dieses soll auf freiwilliger Basis von den Betreibern angewendet werden.
2013

Originaltext auf der Seite des White House

Frankreich |

Loi de programmation militaire (LPM)

  • Ca. 250 Betreiber kritischer IT- und IoT-Infrastruktur in Frankreich werden verpflichtet "Security Operation Centers" aufzubauen, um die Verfügbarkeit und Integrität ihrer System laufend zu überwachen. Kritische IT- und IoT-Systeme müssend laufend bezüglich Sicherheit extern zertifiziert werden.
  • Die "Agence Nationale de la Sécurité des Systèmes d'Information" (ANSSI) wird zur zentralen Reporting- und Zertifizierungsstelle ausgebaut.
  • Hersteller von IT- und IoT-Produkten erhalten die Möglichkeit, die Sicherheit ihrer Produkt durch die ANSSI zertifzieren zu lassen.
2013

Gesetzestext

 

Website der ANSSI