Gepostet am 14. August 2015 von in
Das neue IT-Sicherheitsgesetz - was ist neu?
Nun ist IT-Sicherheit also Gesetz: Mit Wirkung zum 25. Juli 2015 ist das bereits am 16. Juni 2015 im Bundestag verabschiedete "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz IT-Sicherheitsgesetz genannt, in Kraft getreten.
Die Betreiber kritischer Infrastrukturen wie Banken, Börsen, Krankenhäuser und Energieunternehmen werden gesetzlich verpflichtet, einen Mindeststandard an IT-Sicherheit einzuhalten. Derzeit geht das Bundesministerium des Innern (BMI) von etwa 2.000 Unternehmen aus, welche das IT-Sicherheitsgesetz unmittelbar betrifft.
Dabei hat der Gesetzgeber den Umsetzungszeitraum eng definiert: Bereits spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung fordert das IT-Sicherheitsgesetz die Einhaltung eines Mindeststandards für die IT-Sicherheit im Unternehmen, welcher seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verbindlich festgelegt wird.
Weiterhin sind erhebliche IT-Sicherheitsvorfälle an BSI unverzüglich anonym zu melden. Das BSI übernimmt nachfolgend die Auswertung der übermittelten Informationen mit dem Ziel, ein Lagebild der IT-Sicherheit zu erstellen und warnt bei Bedarf andere Unternehmen proaktiv.
Auch kann das BSI nachfolgend von durch IT-Sicherheitsmängel betroffenen Unternehmen die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse, sowie nachfolgend die Beseitigung der Sicherheitsmängel verlangen. Dabei wird ein 2-Jähriger Turnus für Prüfungsaudits identifizierter kritischer IT-Systeme Pflicht.
Was bedeuten diese Vorgaben für die Praxis?
Basis für die Ableitung konkreter Anforderungen aus dem IT-Sicherheitsgesetz ist in jedem Fall die Kenntnis des Status-Quo der IT-Sicherheit. Dies erfolgt sinnvollerweise durch eine standardisierte IT-Sicherheitsanalyse auf Basis definierter Mindeststandards. Ziel ist es festzustellen, welche Forderungen aus dem IT-Sicherheitsgesetz bereits erfüllt werden bzw. wo welche Maßnahmen im Bereich der IT-Sicherheit noch umgesetzt werden müssen. Grundlage bildet dabei die internationale Normenreihe 2700x, die als "gängiger Standard" für IT-Sicherheitsmaßnahmen bereits etabliert ist und ständig weiterentwickelt wird.
Ein ISMS benötigt Fachkompetenz und Unternehmensressourcen
Wesentlich zur Erfüllung der gesetzlichen Anforderung ist der Nachweis eines funktionsfähigen Informationssicherheits-Managementsystems (ISMS).
Aufgrund der umfangreichen aufsichtsrechtlichen Neuerungen, die sich aus dem IT-Sicherheitsgesetz ergeben, muss sich jedes betroffene Unternehmen kurzfristig mit dem Stand ihrer IT-Security auseinandersetzen.
Vor dem Hintergrund der Zwei-Jahresfrist ist der Zeitrahmen eng, um den gesetzlichen Forderungen nachzukommen.
Bei Zuwiderhandlungen gegen die gesetzlichen Regelungen im IT-Sicherheitsgesetz drohen erhebliche Bußgelder, bis zu 100.000€. Gerade im Detail ist die Umsetzung eines aufsichtsrechtlich konformen ISMS mit allerlei Fallstricken verbunden. So ist zum Beispiel eine "Kontaktstelle " für IT-Sicherheit im Unternehmen zukünftig verpflichtend. Erfolgt keine Meldung an die Aufsichtsbehörde, drohen hier bereits Geldbußen von bis zu 50.000€.