Feedback

Gepostet am 14. August 2015 von  Dr. Achim Stein, Manager bei Severn Consultancy in IT-Sicherheit

Das neue IT-Sicherheitsgesetz - was ist neu?

IT-Mindeststandards werden für Betreiber kritischer Infrastrukturen zur Pflichtaufgabe

Nun ist IT-Sicherheit also Gesetz: Mit Wirkung zum 25. Juli 2015 ist das bereits am 16. Juni 2015 im Bundestag verabschiedete "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz IT-Sicherheitsgesetz genannt, in Kraft getreten.

Die Betreiber kritischer Infrastrukturen wie Banken, Börsen, Krankenhäuser und Energieunternehmen werden gesetzlich verpflichtet, einen Mindeststandard an IT-Sicherheit einzuhalten. Derzeit geht das Bundesministerium des Innern (BMI) von etwa 2.000 Unternehmen aus, welche das IT-Sicherheitsgesetz unmittelbar betrifft.

Dabei hat der Gesetzgeber den Umsetzungszeitraum eng definiert: Bereits spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung fordert das IT-Sicherheitsgesetz die Einhaltung eines Mindeststandards für die IT-Sicherheit im Unternehmen, welcher seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verbindlich festgelegt wird.

Weiterhin sind erhebliche IT-Sicherheitsvorfälle an BSI unverzüglich anonym zu melden. Das BSI übernimmt nachfolgend die Auswertung der übermittelten Informationen mit dem Ziel, ein Lagebild der IT-Sicherheit zu erstellen und warnt bei Bedarf andere Unternehmen proaktiv.

Auch kann das BSI nachfolgend von durch IT-Sicherheitsmängel betroffenen Unternehmen die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse, sowie nachfolgend die Beseitigung der Sicherheitsmängel verlangen. Dabei wird ein 2-Jähriger Turnus für Prüfungsaudits identifizierter kritischer IT-Systeme Pflicht.

Was bedeuten diese Vorgaben für die Praxis?

Basis für die Ableitung konkreter Anforderungen aus dem IT-Sicherheitsgesetz ist in jedem Fall die Kenntnis des Status-Quo der IT-Sicherheit. Dies erfolgt sinnvollerweise durch eine standardisierte IT-Sicherheitsanalyse auf Basis definierter Mindeststandards. Ziel ist es festzustellen, welche Forderungen aus dem IT-Sicherheitsgesetz bereits erfüllt werden bzw. wo welche Maßnahmen im Bereich der IT-Sicherheit noch umgesetzt werden müssen. Grundlage bildet dabei die internationale Normenreihe 2700x, die als "gängiger Standard" für IT-Sicherheitsmaßnahmen bereits etabliert ist und ständig weiterentwickelt wird.

Ein ISMS benötigt Fachkompetenz und Unternehmensressourcen

Wesentlich zur Erfüllung der gesetzlichen Anforderung ist der Nachweis eines funktionsfähigen Informationssicherheits-Managementsystems (ISMS).

Aufgrund der umfangreichen aufsichtsrechtlichen Neuerungen, die sich aus dem IT-Sicherheitsgesetz ergeben, muss sich jedes betroffene Unternehmen kurzfristig mit dem Stand ihrer IT-Security auseinandersetzen.

Vor dem Hintergrund der Zwei-Jahresfrist ist der Zeitrahmen eng, um den gesetzlichen Forderungen nachzukommen.

Bei Zuwiderhandlungen gegen die gesetzlichen Regelungen im IT-Sicherheitsgesetz drohen erhebliche Bußgelder, bis zu 100.000€. Gerade im Detail ist die Umsetzung eines aufsichtsrechtlich konformen ISMS mit allerlei Fallstricken verbunden. So ist zum Beispiel eine "Kontaktstelle " für IT-Sicherheit im Unternehmen zukünftig verpflichtend. Erfolgt keine Meldung an die Aufsichtsbehörde, drohen hier bereits Geldbußen von bis zu 50.000€.

 ESG: Der Omnibus rollt

 AI-Act: Anwendungsfrist 02. Februar 2025

 Vom Entwurf zur Verordnung: Die Dynamik der saisonalen Regulierung

 Jahresausblick von Regupedia auf 2025

 DORA-Verordnung: Ein neues Kapitel für die digitale Resilienz in der Finanzindustrie

Passwort zurücksetzen

Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.


Abbrechen

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.