Gepostet am 22. Februar 2016 von in
Neue Meldepflichten nach dem IT-Sicherheitsgesetz
Nun hat der für die IT- und Cybersicherheit zuständige Staatssekretär Stefan Paris unlängst in Berlin eine Tabelle vorgestellt, die als Rechts- und Umsetzungsverordnung die Unternehmen nach Sektoren definiert, die aufgetretene IT-Sicherheitsvorfälle unmittelbar an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen.
Als Grundlage für die Meldepflicht hat die Bundesregierung die sogenannte 500.000er-Regel als Größenklasse definiert. Dies bedeutet, dass alle Unternehmen, die mindestens 500.000 Bürger mit einer Versorgungsleistung betreuen, von den Meldepflichten nach dem IT-Sicherheitsgesetz betroffen sind. Demnach sind sieben KRITIS-Sektoren vom IT-Sicherheitsgesetz unmittelbar betroffen:
- Energiesektor: Hier wird mit der größten Zahl meldepflichtiger Unternehmen gerechnet (ca. 320), da beispielsweise auch Tankstellenbetreiber und Ölraffinerien dazu gerechnet werden.
- Wasserversorgung: Hier werden beispielsweise Kläranlagen und Wasserwerke, die unter die 500.000er-Regelung fallen, meldepflichtig. Dazu gehören schätzungsweise 70 sicherheitskritische Anlagen in Deutschland, die der Meldepflicht unterworfen sind.
- Informationstechnik: Hier gilt die Regelung, dass jeder, der mindestens 500.000 Zertifikate bzw. 10.000 TLS-Zertifikate verwaltet, meldepflichtig wird. Nach aktuellen Zahlen sind derzeit mindestens 30 Rechenzentren, Cloud-Dienstleister, Serverfarmen bzw. Trustcenter in Deutschland betroffen.
- Telekommunikationsbetreiber: Unter diesen Sektor fallen insbesondere die Unternehmen, die Kommunikations- und Datennetze in Deutschland betreiben. Interessant dabei ist, dass hier die 500.000er Regel nicht gilt. Bereits bei mindestens 100.000 Kunden bzw. 250.000 Domains, muss eine Meldung von Sicherheitsvorfällen erfolgen.
Derzeit prüft das BSI, wie viele Unternehmen explizit betroffen sind, so dass konkrete Zahlen nicht vorliegen. Die Sektoren Gesundheit (5), Finanz (6)- und Versicherungswesen (7) sind derzeit noch nicht von den vorgestellten Umsetzungsverordnungen betroffen; entsprechende Vorgaben hierzu werden bis Ende 2016 erwartet.
Unabhängig von den bereits bekannten Umsetzungsverordnungen bleibt allen Betreibern sicherheitskritischer Anlagen nur noch zwei Jahre Zeit, ihre Sicherheitsrichtlinien nach dem aktuellen Stand der Technik zu aktualisieren. Somit rückt das Thema "IT-Sicherheitsgesetz" mehr denn je in den Fokus der Unternehmen in Deutschland.
Das IT-Sicherheitsgesetz ist somit Chance und Herausforderung zugleich. Denn eins steht fest: Nicht nur KRITIS-Unternehmen, sondern alle Firmen, die sicherheitsrelevante IT-Systeme nutzen, sollten prüfen, ob sie die hohen Anforderungen erfüllen können. Dadurch wird gewährleistet, dass die Mindestanforderungen an sichere IT-Systeme bestehen. Dies erhöht wiederum die interne Security und erfüllt aufsichtsrechtliche Forderungen bereits proaktiv.
Eine erste Orientierung zur Einstufung ihrer derzeitigen Konformität mit den Anforderungen nach dem IT-Sicherheitsgesetz bieten wir Ihnen mit unserem kostenlosen Check-up "IT-Sicherheitsgesetz" an.
Zur Checkliste "IT-Sicherheitsgesetz" gelangen eingeloggte Nutzer bei Regupedia.de hier.