Feedback

Gepostet am 22. Februar 2016 von  Dr. Achim Stein, Manager bei Severn Consultancy in IT-Sicherheit

Neue Meldepflichten nach dem IT-Sicherheitsgesetz

Seit im Juli 2015 das IT-Sicherheitsgesetz in Kraft getreten ist, erwarten Unternehmen mit kritischen Infrastrukturen - sogenannte KRITIS-Unternehmen - bereits Konkretisierungen zu den gesetzlich verankerten Pflichten. Besonders unspezifisch sind im Gesetzestext die Meldepflichten ausgestaltet.

Nun hat der für die IT- und Cybersicherheit zuständige Staatssekretär Stefan Paris unlängst in Berlin eine Tabelle vorgestellt, die als Rechts- und Umsetzungsverordnung die Unternehmen nach Sektoren definiert, die aufgetretene IT-Sicherheitsvorfälle unmittelbar an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen.

Als Grundlage für die Meldepflicht hat die Bundesregierung die sogenannte 500.000er-Regel als Größenklasse definiert. Dies bedeutet, dass alle Unternehmen, die mindestens 500.000 Bürger mit einer Versorgungsleistung betreuen, von den Meldepflichten nach dem IT-Sicherheitsgesetz betroffen sind. Demnach sind sieben KRITIS-Sektoren vom IT-Sicherheitsgesetz unmittelbar betroffen:

  1. Energiesektor: Hier wird mit der größten Zahl meldepflichtiger Unternehmen gerechnet (ca. 320), da beispielsweise auch Tankstellenbetreiber und Ölraffinerien dazu gerechnet werden.
  2. Wasserversorgung: Hier werden beispielsweise Kläranlagen und Wasserwerke, die unter die 500.000er-Regelung fallen, meldepflichtig. Dazu gehören schätzungsweise 70 sicherheitskritische Anlagen in Deutschland, die der Meldepflicht unterworfen sind.
  3. Informationstechnik: Hier gilt die Regelung, dass jeder, der mindestens 500.000 Zertifikate bzw. 10.000 TLS-Zertifikate verwaltet, meldepflichtig wird. Nach aktuellen Zahlen sind derzeit mindestens 30 Rechenzentren, Cloud-Dienstleister, Serverfarmen bzw. Trustcenter in Deutschland betroffen.
  4. Telekommunikationsbetreiber: Unter diesen Sektor fallen insbesondere die Unternehmen, die Kommunikations- und Datennetze in Deutschland betreiben. Interessant dabei ist, dass hier die 500.000er Regel nicht gilt. Bereits bei mindestens 100.000 Kunden bzw. 250.000 Domains, muss eine Meldung von Sicherheitsvorfällen erfolgen.

Derzeit prüft das BSI, wie viele Unternehmen explizit betroffen sind, so dass konkrete Zahlen nicht vorliegen. Die Sektoren Gesundheit (5), Finanz (6)- und Versicherungswesen (7) sind derzeit noch nicht von den vorgestellten Umsetzungsverordnungen betroffen; entsprechende Vorgaben hierzu werden bis Ende 2016 erwartet.

Unabhängig von den bereits bekannten Umsetzungsverordnungen bleibt allen Betreibern sicherheitskritischer Anlagen nur noch zwei Jahre Zeit, ihre Sicherheitsrichtlinien nach dem aktuellen Stand der Technik zu aktualisieren. Somit rückt das Thema "IT-Sicherheitsgesetz" mehr denn je in den Fokus der Unternehmen in Deutschland.

Das IT-Sicherheitsgesetz ist somit Chance und Herausforderung zugleich. Denn eins steht fest: Nicht nur KRITIS-Unternehmen, sondern alle Firmen, die sicherheitsrelevante IT-Systeme nutzen, sollten prüfen, ob sie die hohen Anforderungen erfüllen können. Dadurch wird gewährleistet, dass die Mindestanforderungen an sichere IT-Systeme bestehen. Dies erhöht wiederum die interne Security und erfüllt aufsichtsrechtliche Forderungen bereits proaktiv.

Eine erste Orientierung zur Einstufung ihrer derzeitigen Konformität mit den Anforderungen nach dem IT-Sicherheitsgesetz bieten wir Ihnen mit unserem kostenlosen Check-up "IT-Sicherheitsgesetz" an.

Zur Checkliste "IT-Sicherheitsgesetz" gelangen eingeloggte Nutzer bei Regupedia.de hier.

 ESG: Der Omnibus rollt

 AI-Act: Anwendungsfrist 02. Februar 2025

 Vom Entwurf zur Verordnung: Die Dynamik der saisonalen Regulierung

 Jahresausblick von Regupedia auf 2025

 DORA-Verordnung: Ein neues Kapitel für die digitale Resilienz in der Finanzindustrie

Passwort zurücksetzen

Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.


Abbrechen

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.