Feedback

Gepostet am 02. Oktober 2015 von  Dr. Achim Stein, Manager bei Severn Consultancy in IT-Sicherheit

Update-Blog zum IT-Sicherheitsgesetz

Konkretisierung der gesetzlichen Vorgaben - Anforderungen an IT-Sicherheitskultur verursachen bei betroffenen Unternehmen akuten Handlungsbedarf

Nachdem im Rahmen der digitalen Agenda der Bundesregierung (vgl. www. digitale-agenda.de) im Juni dieses Jahres das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" (auch IT-Sicherheitsgesetz genannt) in Kraft getreten ist, stehen jetzt erste Konkretisierungen des Gesetzgebers an. So wurde bereits neben branchenspezifischen Katalogen zur IT-Sicherheit eine Umsetzungsverordnung für 2016 angekündigt, die insbesondere noch einmal klarstellt, welche Unternehmen in Deutschland vom Gesetzgeber als "kritische Infrastrukturen" gesehen werden. Diese werden auch abgekürzt als "KRITIS" bezeichnet und umfassen insbesondere Einrichtungen, die für die Funktionsfähigkeit des Allgemeinwesens besonders wichtig sind (Versorger, Finanzdienstleister, Börsen, Krankenhäuser, etc.). Bereits jetzt lassen sich folgende wesentliche Punkte identifizieren:

  • Ende des Jahres erfolgt eine Konkretisierung, welche Unternehmen als KRITIS eingestuft werden. Man geht in Deutschland von ca. 2000-5000 Unternehmen aus, die unter die KRITIS-Kriterien fallen werden. Für diese beginnt mit der Veröffentlichung der Umsetzungsverordnung die im IT-Sicherheitsgesetz definierte Frist von 2 Jahren zur Umsetzung des geforderten IT-Sicherheitsstandards. Danach werden verbindliche Audits durch bzw. im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgeführt.
  • Bereits jetzt ist es fundamental, gängige Standards, die im IT-Sicherheitsgesetz beschrieben wurden, einzuhalten. Im Wesentlichen ist dies die international geltende NORM ISO 27001, ergänzt durch branchenspezifische Kataloge (z.B. IT-Sicherheitskatalog der Energiewirtschaft), die seitens des BSI zertifiziert sind und bereits vorliegen. Ein Beispiel dazu ist der "IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG" der Bundesnetzagentur (Download)
  • Weiterhin steht es jedem Unternehmen frei, eigene Sicherheitsspezifikationen durch das BSI zertifizieren zu lassen.
  • Für die betreffenden Unternehmen gelten umfangreiche Meldepflichten: Neben unmittelbare Ausfällen der IT-Infrastruktur sind auch Vorfälle zu melden, die aufgrund ihrer Auswirkungen auf die Geschäftsprozesse zu Ausfällen führen könnten (Vorbeugung von "Dominoeffekten"). In diesem Zusammenhang enthalten die bereits von einzelnen Branchenverbänden veröffentlichten Kataloge zur Einhaltung von Mindeststandards in der IT-Sicherheit entsprechende Vorlagen die aufzeigen, wie die zukünftige Meldepflichten formal gestaltet werden können.

Bereits jetzt zeichnet sich ab, dass dieser Forderungskatalog des Gesetzgebers die bestehenden IT-Sicherheitskulturen in den betreffenden Unternehmen vor neue Herausforderungen stellen wird. Gerade vor dem Hintergrund der 2-Jahres Frist zur Umsetzung besteht akuter Handlungsbedarf.

 DORA - Der Countdown läuft

 Serie zur Retail Investment Strategy der EU-Kommission (Provisionsverbot Teil 2)

 Serie zur Retail Investment Strategy der EU-Kommission (Provisionsverbot Teil 1)

 Quo Vadis Geldwäscheparadies? Eine ausführliche Analyse des neuen Finanzkriminalitätsbekämpfungsgesetzes (FKBG)

 Wir stellen uns vor

Login 



Passwort vergessen?

Das Search-Center ist exklusiv für unsere Kunden. Darin haben Sie Zugriff auf eine umfassende Sammlung von relevanten Gesetzen, Richtlinien, Verordnungen und Merkblättern. Mit der komfortablen Suchfunktion finden Sie schnell die für Sie relevanten Informationen.

Sie wollen einen vollen Zugang zu Regupedia.de? Dann werden Sie unser Kunde und nehmen mit uns Kontakt auf.

Login 



Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.